das wohl die datei die sie auf den server laden
http://rst.void****/download/r57shell.txt
kann man sich hier anschauen
//edit
das echt krass hab den file gerade mal auf meinen server als php file hochgeladen und angschaut
ist wirklich krass ist wie ein ftp dann kann man executen usw. kannst dir ftp benutzer einrichten und alles mögliche
Geändert von druckgott (13.08.2006 um 12:17 Uhr)
r57shell ist ein hacker-tool. Wurde wohl mit Hilfe deiner remository Komponente hochgeladen.
Auf joomla.org gibt es irgendwo eine Auflistung über sichere/unsichere Komponenten
und hier eine Anleitung, was man tun kann, um sich zu schützen:
http://dev.joomla.org/component/opti...s:make_secure/
sehe gerade ... steht beides oben im angetackerten Thread ...
Geändert von bluecafe (13.08.2006 um 12:22 Uhr)
hast du zufällig eine ahnung wo es die komonente gibt
ps schau mal ob in deiner remository Komponente erlaub ist php files hochzuladen
Geändert von druckgott (13.08.2006 um 12:27 Uhr)
hi,
was ist eine rams Komponente, bin nicht so fit in php ...
bitte um erklärung
danke
killa
edit:
du meinst die download komponente oder?
txt,exe,tar,gz,rar,zip,png,gif,jpg,pdf,doc
würde es was bringen diese zu deinstallieren?
Geändert von killa4u (13.08.2006 um 12:29 Uhr)
remository Komponente mein ich wobei ich gerade sehe die haben das ja via txt hochgeladen
hast du eingestllt das die files automatisch freigegeben werden oder musst du diese freigeben?
Ja. Bei System-Check wird diese Einstellung als unsicher markiert. Was soll Joomla mehr tun? Den Server hijacken und die Einstellungen ändern? Oder die Installation einfach verweigern? Das Geschrei möchte ich hier erleben...Zitat von Webmasterin
Wer sich trotz der Warnungen und Hinweise entschließt, Joomla auf einem solchen Server zu installieren und zu betreiben, muß die Folgen selbst verantworten. Man könnte noch mal eine Zusatzseite mit Links zu den Erklärungen der Servereinstellungen zwischenschalten, damit nicht hinterher jemand rumheulen kann, er hätte ja gar nicht gewußt, worauf er sich da einläßt, aber das war's dann schon. Man kann niemanden zwingen, die Links auch zu lesen und zu verstehen.
Wer die rot markierten Warnungen einfach komplett ignoriert und nicht mal bei Tante Google anfragt, was denn da wohl hinterstecken könnte, hat es einfach nicht besser verdient.
hi,
ich habe die komponente jetzt einfach gelöscht, da wir sie fast nicht benutzen und die sicherheit mir lieber ist, als die paar files geordnet anzubieten.
grüße und danke
killa
man kann das register global ganz einfach auf on setzten einfach ein .htaccess file erstellen das rein schreiben "php_flag register_globals on" allerdings ohne anführungsstriche
das tut ihr dann einfach in das verzeichnis wo die homepage ist kann man pro url einzeln machen (kann sein das das aber nur bei Plesk geht muss man probieren)
und schon ist register global auf on
also auf meinen eigenen server geht das ohne probleme
mfg
druckgott
Prima, aber eigentlich sollte register_globals auf off stehen
Welcher Teil Joomlas erfüllt denn die Erwartungen? Die Benutzerverwaltung ist Mist, die Contentverwaltung ist Mist, die API ist Mist, der PHP-Code in den Templates ist Mist, die Empfindlichkeit gegen "falsche" URL-Aufrufe ist Mist, die Nicht-Multi-Domain-Fähigkeit ist Mist... und noch jede Menge mehr. Meinst du, das wäre dem Core-Team neu? Meinst du, sie hätten keine Lust, das zu ändern, oder sehen keinen Sinn darin?
Da fehlen schlicht und einfach einige zig Mannjahre an kompetenter Programmiererkapazität. Wenn die Leute, die nur meckern oder meckern und abwandern, sich schlau machen würden und mit an den Stellen anpacken würden, die ihnen am Herzen liegen, wäre die 1.5 längst veraltet und die 2.0 in Sicht.
Du hast recht: Von allein wird sich gar nichts ändern.Als nächstes beginnt man den Status Quo zu ändern. Da man aber momentan noch überhaupt keine Selbstkritik (zumindest auf der Homepage) finden kann, denke ich auch nicht, dass sich so schnell was ändert.
Nein, sie wird nicht so toll werden, wie viele erwarten. Was sich ändern wird, kann man jetzt schon sehen und nachlesen. Das wird nicht so viel sein, wie sich viele erhoffen. Und das liegt nicht daran, daß das Core-Team die erhofften Features nicht einbauen will.Gut. Möglicherweise ist die 1.5er Version ja auch so toll wie wir es uns alle erhoffen, aber wenn sie auf der aktuellen Version aufbaut, bin ich ehrlich gesagt pessimistisch.
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen