unzip på server?

[loungepuppy]

Hej,

Jag vet inte om det är jag, de olika ftp-program jag provat eller Loopia som gör det så otroligt långsamt och ofta misslyckat att ladda upp en loka joomlainstallation på 1000-tals filer.

Är det någon av Er som använder ngt program, script eller annat för att kunna ladda upp en zip-fil istället och packa upp den på servern?

MVH/lounge

[svenl]

Hejsan,

Denna fråga dyker upp "då och då" och det finns en enkel lösning för dig.
Du laddar upp zip-filen till en tom katalog på servern.
skapar en php-fil med följande kod

Code: Select all

<? exec("unzip arkivnamn.zip"); ?>

kör php-filen (via din webbläsare) och du har din zip-fil uppackad 
Du kan läsa mer om detta på följande hjälpsida hos ett av mina webbhotell
http://www.indell.se/vanliga_fragor/hur ... d_ftp.html

mvh
/Sven

[Zello]

Undran!

Är det någon som har fått detta att funka på Loopia?

/ Olle

[morfargekko]

Hej, om det fungerar eller inte kan bero på vad webbhotellet satt i sin php.ini när det gäller "php disable_functions".
Min absoluta åsikt om att webbhotellet tillåter "exec" via php är att det är en ytterst allvarlig säkerhetsrisk vilket kan i värsta fall resultera i att inte bara just en specifik kund hackas utan att hela disken/diskarna raderas på den aktuella servern.

Många webbhotell erbjuder den möjligheten via kontrollpanelen som kunden har tillgång till.

[Zello]

Misstänkte det!

Visst finns det i kontrollpanelen hos en del hotell. Men det är lite ont om stöd för ASP.NET 2.0 på många av dessa 

/ Olle

[loungepuppy]

Tack för förslag!

Tyävrr fungerar inte ett enkelt php-script, har provat exemplet ovan och några andra. Ingen kontrollpanel för filhantering heller...

Men Joomla packar ju upp zippade filer, så det borde ju gå att ordna på ngt sätt?

[svenl]

Alltid en svår balansgång mellan säkerhet och frihet för användaren.
att packa upp en fil borde finnas i alla filhanterare som finns i ett webbhotells admin-gränssnitt. Tyvärr är det inte så och att ladda upp en större filmängd via FTP är inget jag vill göra . . .

För att kunna göra ett exec kommando av "skadlig karaktär" så behöver väl också det finnas en fil med rätt kod på servern också?
De som tillåter exec-kommandot, går det att begränsa vad kunderna/användarna kan göra med det i ini-filen?
Ser fram emot säkerhetsföreläsningen den 3 november på joomladagen.

mvh
/Sven

[loungepuppy]

Tänker jag helt snett då jag tror att Joomla använder php för att packa upp zippade templates, mods, components?
Det borde ju innebära att det går, även på Loopia, med rätt applikation?

[morfargekko]

Sven,

För att kunna göra ett exec kommando av "skadlig karaktär" så behöver väl också det finnas en fil med rätt kod på servern också?
De som tillåter exec-kommandot, går det att begränsa vad kunderna/användarna kan göra med det i ini-filen?

Med alla säkerhetshål i komponenter och moduler så har en hacker inga problem att få upp just den där filen med skadlig kod du pratar om. Jag håller med om att det är en balansgång, och det på slak lina, men jag är övertygad om att när det kommer till kritan så går säkerheten först. Frihet är givetvis viktigt men måste nog dra gränsen där friheten riskerar att skada tredje part. Hur glad skulle du vara om du håller din site hypersäker och det visar sig att någon annan i den delade servermiljön du, och andra befinner er i, har en site som är vidöppen och genom det ger vem som helst möjlighet att ladda upp skadlig kod och sedan köra den via ett script i rent förstörelsesyfte. I veckan kunde vi på IDG läsa om vad som hände med Proinet vilket var beklagligt och jag kan givetvis inte säga vad som orsakade det men det visar vad illvilliga personer kan göra om dom vill. Läs: http://www.idg.se/2.1085/1.123665

Det här är bara en av flera punkter som kommer att behandlas när vi träffas i Västerås. 

[Makaronborraren]

I kursen "Värdelöst vetande" har jag idag kommit till avsnittet "Använda Joomlas pclzip för att packa upp filer". 

Man kan "låna" filer från t.ex. Joomla 1.0.13 för att zippa upp filer. Kopiera följande två filer från en Joomla-fil du har hemma till rooten på servern...

/administrator/includes/pcl/pclzip.lib.php
/administrator/includes/pcl/pclerror.lib.php

Sen kopierar du in t.ex. filen Joomla-1.5RC3.zip till rooten.

Sen gör man en fil med följande innehåll och sparar som unzip.php i samma root.

Code: Select all

<?php

	echo "Börjar packa upp test.zip<BR>";

	// Lura underfiler att det är Joomla som anropar.
	define( '_VALID_MOS', 1 );

	// Namnet på arkivet som ska zippas upp.
	$archivename = "Joomla-1.5RC3.zip";

	// Katalog där allt ska hamna när det zippats upp...
	$extractdir = "";

	// Sno filen pclzip.lib.php och pclerror.lib.php till installationskatalogen.
	// Filerna kan hämtas ur katalogen /administrator/includes/pcl/
	// i en Joomla-installation.
	require_once( "pclzip.lib.php" );
	require_once( "pclerror.lib.php" );

	// Skapa ett nytt zip-object av din zip-fil med namnet $archivename.			
	$zipfile = new PclZip( $archivename );

	// Nu kör vi unziplifieringen... PCLZIP_OPT_PATH definieras i pclzip.lib.php
	$ret = $zipfile->extract( PCLZIP_OPT_PATH, $extractdir );

	echo "Om inget fel uppstått ska allt vara uppackat nu";
?>

Sen kör man: http://dinsajt.se/unzip.php

Mycket krångligare men mycket roligare... 

[Zello]

Tihi, det funkar  !

Jag fick lov att byta namn på filen "Joomla-1.5RC3.zip".
Men efter denna lilla moddning så fungerade det bra för mig.
Jag tackar Makaronborraren för studier i Vädrelöst/fullt vetande.

/ Olle

[loungepuppy]

Makaroniborraren....

Fantastiskt!

Då kan Loopias dator zippa upp och jag slipper hålla på flera timmar med slöa ftp-överföringar och frekventa disconnects.

Ganska snart ska jag flytta en lokal installation till Loopia igen och då ska jag försöka köra denna variant!

Tack!

/Lounge

[svenl]

Hejsan,

Aldrig fel med alternativa lösningar på ett problem 

Vi får se vad säkerthetsexperten Mats säger om denna lösning.
För- och nackdelar ...

mvh

[maxa]

Min absoluta åsikt om att webbhotellet tillåter "exec" via php är att det är en ytterst allvarlig säkerhetsrisk vilket kan i värsta fall resultera i att inte bara just en specifik kund hackas utan att hela disken/diskarna raderas på den aktuella servern.

Självklart har vi vidtagit säkerhetsåtgärder för att kunna tillåta kommandot exec. Den som tvivlar kan förstås förbjuda exec via kontots php.ini, men jag försäkrar att exec inte på något sätt utgör en säkerhets- eller integritetsrisk på våra servrar.

Det betyder inte att jag rekommenderar andra att tillåta exec på sina servrar. Utan andra säkerhetsåtgärder så kan det vara ödesdigert.

[morfargekko]

Vi får se vad säkerthetsexperten Mats säger om denna lösning.
För- och nackdelar ...

Det är aldrig fel med alternativa lösningar och alla sätt är bra utom de dåliga. 

Maxa
Givetvis är det inte en slutgiltig lösning på "hackerproblem" att spärra exec i php.ini utan det är bara en liten del i den ständigt pågående utmaningen att försöka ligga ett steg före alla ilvilliga personer ute på nätet. Det behövs mycket mycket mer för att försvåra intrångsförsök och som alla säkert förstår har jag inte för avsikt att släppa den informationen i ett publikt forum. Det är härligt att höra att du löst problemet med att tillåta exec och samtidigt hålla en hög säkerhetsnivå.