Archive for the ‘joomla’ Category
Фев
06
Posted under
CMS,
joomla И так. Активизировался троян, Касперский назвал его backdoor.php.agent.sx, NOD32 обозвал его PHP/Kryptik.AB
Его фишка в том, что он подменяет заголовки для поисковиков на свои сайты. Какие точно не помню, но это не так важно. Предыстория: Делал верстку сразу на хостинге заказчика, обычно я такого не делаю, но заказчик старый волк, доверять можно. Так вот. На третий день после установки Joomla 1.5 и сдачи работы, ПС и Касперский стали ругаться, что сайт угрожает безопасности. Захожу в index.php и вижу гадость после каждого открытия php в виде eval(base64_decode(...)); Начинаю ругаться на хостера т.к. доступа из вне кроме меня не было. Тот в отрицалово, и кидает инфу типа у вас украли пароли с фтп. так же приводит какой то троян сканирующий пассы Total Commander. Не верю!!!
Ладно поехали дальше. Откуда все это вылазит? в папке images появился файлик post.php который позволяет запустить php код через url. И тот уже сканит все файли и после каждого <?php добавляет eval. Странно в Joomla же предусмотрены фильтры расширений. Захожу в админку -> общие настройки -> система. И в разрешенных расширениях появилось php. Ого! Дистрибутив всегда ставлю с сайта производителя. хм.
Мысли в слух: Я конечно не последний мудак, что бы попасть в подобный просак, но все же факт )). Обычно во время разработки я ставлю пароль админа типа 123456 что бы и заказчик мог зайти посмотреть как движется работа. Так вот. Я думаю что в нете сидит какой нить бот и сканит IP на появление новых сайтов. Далее дело техники, определить движок, и пробить админку со стандартными паролями )). Гы, не используйте простых паролей!!!
И так как бороться?
Я сделал дамп файловой системы, скачал на локалку, распаковал и с помощью программы Text Replacer заменил во всех файлах зловещий код на пробел. Залил обратно на сервер. Ну как то так!
Всем удачной борьбы с этим паразитом!
Popularity: 4% [?]
Сен
20
Posted under
joomla,
работа Портировал плагин RD Add PHP на Joomla 1.7
Плагин работает по прежнему
{rdaddphp file=php/test.php} — В корне сайта папка php, во вложении файл test.php
Пользуйтесь на здоровье — скачать.
Popularity: 32% [?]
Апр
05
Posted under
joomla,
работа Давненько не писал... Работы валом, да и сложных задач не было, о которых хотелось бы поделиться. Но вот приплыла верстка под Joomla 1.5 со страницей приветствия. Начинаю яндексить...
Скажу честно, одно говно. Я даже удивился, что за все время развития Joomla никому не пришло в голову правильного решения. Нет, нашел один сайтик кто мыслил как я, но решения поставленной задачи так и не нашел. После чего он отговорил заказчика от идеи страницы приветствия. А задача проста — при первом входе вывести страницу приветствие. Много пишут про взаимодействие index.html и index.php. Т.е. при заходе на http://сайт.ру/ мы попадаем на index.html, а там переходим на index.php. Ну что ж, алгоритм прост, но разумность его вызывает сомнения. Во первых прощай ЧПУ. Что не есть гуд. И где гарантия что случайным образом опять не попаду на index.html. Сразу приходит в голову работа с сессиями.
Вот тут оказывается никто не копался, а если и копался то быстро сдался. Я уже и сам начал убеждать заказчика, что это лишнее телодвижение, а тот в никакую. Хацю. Мое желание для себя решить поставленную задачу пересилило. Начинаем PHP кодинг.
Нашел мануальчик Joomla класс JSession. Изучение изложенного ничего не дало. Ползем в БД. Судя по таблице _session данные сессии time, data перезаписываются при каждом обновлении страницы. Понимаю, что придется влазить в ядро и делать хак для добавление еще одного параметра (дата создания сессии) в таблицу. Подобное я когда то проделывал с Joomla 1.0 для вывода счетчика (сессий, посетителей, поисковиков) в админке. Кстати о чем также хотел написать, да времени не было. А сейчас уже и не помню что там делал ))). Ой как не люблю эти вещи, надо писать карту изменений и при каждом обновлении добавлять хаки. Ну что ж выбора нет лезем в ядро.
В процессе изучения библиотеки session.php нарыл что время жизни, т.е. время создания и последнего обновления сессии записывается в md5 параметра date. Это очень хорошо! Будет универсальный скрипт и без хаков. Оказалось все просто, странно, что этого не нашел мне яндекс
Поехали:
1
2
3
4
| $session =& JFactory::getSession();
$time_start = $session->get('session.timer.start');
$time_now = $session->get('session.timer.now');
if ( $time_now == $time_start ) { $start = true; } else { $start = false; } |
Проще говоря. Если создание и обновление сессии идентичны присваиваем переменной истину иначе ложь. Ну а дальше можно с этим параметром делать все что душе угодно.
Для реализации страницы приветствия, этот скрипт можно поместить в index.php шаблона сайта. Где нибудь после
1
2
| ...
defined( '_JEXEC' ) or die( 'Restricted access' ); |
и вызвать проверку условия
1
2
3
4
5
6
7
| ...
<body>
<?php if ( $start == false ) { ?>
... основной шаблон ...
<?php } else { include_once('start.php'); } ?>
</body>
... |
start.php вкладываем в корень шаблона и прописываем там страницу приветствия.
Ну и еще в заключении расскажу почему я применил несколько проверок условий. Во первых создание переменной $start дает нам возможность использовать его в нескольких местах. Плюс ко всему к этому условию можно добавить еще одно в виде проверки посетителя. Т.е. Если пришел поисковой робот, то ему вообще не стоит показывать страницу приветствия. Или же если вход на сайт осуществляется с поисковой системы. Что то-же по сути логично. В итоге я сделал страницу приветствия только для прямых заходов.
Пользуйтесь на здоровье...
Popularity: 58% [?]
Ноя
19
Posted under
CMS,
joomla,
Заработок Получил заказ на монетизацию сайта antecombl.com в стиле pr-cy.ru
Сее чудо пока лишь интегрировано в движок Joomla (до версии 1.5). В пакет входит компонент и модуль для вывода сквозных ссылок. Система построена по принципу «плати и властвуй». Тобишь пополняй счет ссылки и продвигайся в топ5, которые в свою очередь становятся сквозняками сайта.
Система полностью автоматизирована. В роли платежного посредника выступает robokassa.com, на прямую с мерчантом решил не работать, т.к. не все имеют персональные и выше аттестаты.
Пока ссылки вечные, в будущем планируется добавить биллинг по времени. То есть спустя месяц, со счета ссылки будет сниматься какая-то сумма, что в свою очередь должно оживить работу новых рекламодателей.
Систему администрирования пока не писал, собственно и администрировать пока нечего. Только если чистить неоплаченные резервы. В будущем думаю и это будет.
Кому интересно кричите, за чисто символическую сумму продам сее творение.
Popularity: 32% [?]
мая
01
Posted under
CMS,
joomla 
На днях ко мне обратился один из пользователей модифицированного мною мамбота всплывающих картинок thumbimage с просьбой устранить «баг».
Превью картинка создавалась с оригинальным именем, без учета вложенности. А именно, если у Вас две картинки с одним именем но в разных папках, скрипт создавал превью для первой, а вторую распознавал как уже имеющуюся.
Read the rest of this entry »
Popularity: 45% [?]
