Joomla *

По долгу работы в Айри я иногда разбираю ошибки функционирования сайта на сетевом уровне / уровне браузерного взаимодействия. Обычно это сводится к простому анализу заголовков запроса-ответа и воспроизведению тривиальных условий. Но иногда бывают интересные случаи.

Все начиналось холодным февральским вечером. Клиент написал о странной проблеме при ускорении сайта: слайд-шоу множилось и блокировало поведение сайта, страницы были недоступны. Через два дня после выяснения всех подробностей я узнал, почему Mootools и jQuery категорически нельзя использовать совместно. И подтвердился в мысли, что и «алкоголь — зло», и «eval — зло».

Но обо всем по порядку.

Буквально на днях столкнулся с новым (*?) вариантом спам-вируса для веб-сайтов. Гугл определяет его как «Внедрение через URL».

Описание

На вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида:

www.site.ru/?jn=xxxxxxxx

Поиск и устранение

Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.

Вариант А: Код не обфусцирован

1. Ищем в исходниках кто и как у нас пользует переменную $_GET['jn']
2. Далее по коду смотрим кто где гадит (например: \js\swfupload\plugins\jquery\)

Вариант Б: Код обфусцирован

1. Ищем каталог с файлами, названия которых идут после "?jn="
2. Ищем подозрительные исполняемые файлы типа images/c0nfv.php
3. Можно сделать поиск путей где могут быть файлы а-ля "/img/icon/thumb/jquery.php"
4. Проверить дату изменения конфигов CMS
5. Рекомендуется проверить на наличие (корректность) файлов base.php — это само тело вируса, код обфусцирован
6. Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла.

Встречается

• CMS: Joomla, WordPress, DLE, PrestaShop, HostCMS
• Plugins: ImageZoomer, SWFupload, BlockCategories
• Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки.

Полный код (необфусцированного) зловредного кода под катом.

Слово Jumla на языке суахили означает «все вместе», «как одно целое».

Когда-то давно, довольно долгое время я верстал сайты на HTML/CSS/JavsScript и не имел никакого представления о CMS.
Пугающим моментом было то, что как я полагал владение PHP является крайне необходимым, однако по факту каких-то базовых знаний оказалось достаточно (простой код оказывается понятен программисту любого другого языка, а в дебри лезть не обязательно).
Для человека, владеющего только версткой и скриптами, довольно достаточно знать какие-то определенные моменты, для того, чтобы с ходу приступить к работе с Joomla.
Что-то в этих моментах схоже с другими CMS, что-то отличается.
Постарался изложить эти моменты кратко. Если бы они мне были известны сразу, то смог бы начать создавать администрируемые пользователями сайты гораздо быстрее.
Итак, если вы владеете HTML, но не имеете представления о CMS Joomla, то вам следует нажать кнопку ниже.

Описание

Уязвимость позволяет удалённому злоумышленнику извлечь архив, хранящийся где-то удалённо, на атакуемый сайт во время распаковки резервной копии или установки обновлений, в зависимости от настроек. Само наличие уязвимости не позволяет её использовать. Злоумышленник должен атаковать именно в то время когда извлекается архив резервных копий или устанавливается пакет обновления Joomla!

Версии программного обеспечения, подверженные уязвимости

• Akeeba Backup for Joomla! Professional, версии 3.0.0 и выше, включая 4.0.2
• Akeeba Backup Professional for WordPress, 1.0.b1 и выше, включая 1.1.3
• Akeeba Solo, 1.0.b1 и выше, включая 1.1.2
• Admin Tools Core and Professional, version 2.0.0 и выше, включая 2.4.4. Более поздние версии не подвержены, так как не включают в себя Joomla! update.
• Akeeba CMS Update, version 1.0.a1 и выше, включая 1.0.1
• Joomla! 2.5, 3.0, 3.1, 3.2, 3.3 и выше, включая 3.3.4

До того, как я начал работать над текущим проектом, я не думал, что мне когда либо придется использовать инструменты для автоматической сборки проектов. Ведь работаю я исключительно с интерпретируемыми языками, которым не нужна компиляция. Однако, как оказалось, они могут быть полезными и при разработке на PHP, и особенно при работе с Joomla!

Всем привет.
Хочу описать процесс полностью автоматического создания резервных копий сайтов на CMS Joomla с помощью компонента Akeeba backup, причем его бесплатной версии.
Знаю, что джумлу на хабре не особо жалуют, но думаю все же найдутся хабровчане, которые создают сайты с её помощью.

Здраствуйте, хабравчане!
Сегодня хотелось поделиться решением, которое я использовал для реализации AJAX при написании компонентов для Joomla! 2.5.
Сразу хотелось бы предупредить гневные выкрики: «иди в гугл! пользуй поиск! это уже было! бойан!». Это решение не лежит на поверхности и, хоть оно и банальное, чтобы найти его, мне пришлось попотеть.

Судя по моим предыдущим статьям про Joomla (эта, эта и эта) все на хабре считают команду Joomla велосипедостроителями, и сетуют на то, что уж слишком часто у этой Joomla все ломают и делают все заново.
Но, в ноябре прошлого года произошло нечто особенное.

В этой статье я хочу рассказать о CMS Joomla, оставив за бортом холивар, какая CMS лучше, я расскажу Вам, о том, почему Joomla, при всей популярности на западе до сих пор не признана в России.

При всех достоинствах и недостатках Joomla, на форумах чаще можно увидеть высказывания «Joomla отстой» и.т.п. Как правило, высказывания такого плана идут из-за невежества человека, который пишет такой отзыв. С такой же уверенность школьник может заявить, что отстой Yii или Drupal, только потому, что их ни когда не видел или не смог в должной степени освоить. Однако про Yii и Drupal таких высказываний не так много, и на хабре они пользуются уважением. Так давайте разберемся, в чем проблема?

В последние годы интернет настолько стремительно поразил общественность, что не только стал весомой частью человеческой жизнедеятельности, но также и ключевым фактором в развитии бизнеса. Интернет играет существенную роль и оказывает огромную помощь компаниям в ведении бизнеса и его развитии, даёт хлеб программистам, а также является отличным средством коммуникации для всех людей. Но чем бы был интернет без так называемого виртуального информационного пространства? Это пространство состоит из миллионов веб-сайтов.

Не важно, являетесь вы новичком, не знающим ничего о построении сайтов, или же умудрённый опытом профессионал, вы можете стать частью виртуального пространства, создав веб-сайт. Есть только один большой вопрос – каким образом? Естественно, вы можете нанять команду профессиональных дизайнеров, программистов и SEO-менеджеров, которые воплотят в жизнь вашу идею, либо же вы можете воспользоваться CMS (content management system).

Из всей огромной массы веб-сайтов, наполняющих интернет, около 31% используют CMS. Ниже представлен график, показывающий историческую динамику доли веб-сайтов на CMS, начиная с 1 сентября 2011 года до 19 сентября 2012 года. График показывает отчетливую положительную тенденцию в сторону увеличения доли сайтов с CMS, а всё потому, что эти инструменты делают вашу жизнь проще. Существует множество CMS, и вы можете выбрать наиболее подходящую для себя, в зависимости от целей и специфики вашего веб-сайта.

В данной статье рассказывается о так называемых конструкторах контента (Content Construction Kit) и приводится обзор конструкторов контента для Joomla: Zoo, K2, FLEXIcontent, MightyResources, Cobalt 7 и Seblod.

   Доброго здоровьица, Хабровчане!

   7 июня 2012 я побывал на конференции Intel IT Galaxy в Санкт-Петербурге. Меня пригласили принять участие в обсуждении вопросов, связанных с It-сервисами, облачными вычислениями, инфраструктурой и т. д., в рамках пленарной дискуссии «Будущее корпоративных вычислений». Свое мнение по каждому из вопросов высказали эксперты Intel и ИТ-директора.
   Один из вопросов просто «взорвал» всех, кто находился в зале — это использование открытого программного обеспечения в корпоративных целях (для бизнеса).
   Мнения разделились: некоторые из участников высказались категорически против использования open-source software (OSS), другие наоборот приводили примеры удачных проектов в своих компаниях. Я решил поделиться своими мыслями по поводу рынка OSS и опытом их использования в одной из производственных компаний.

   Наличием корпоративного портала у себя в компании уже никого не удивишь. Все больше крупных и средних представителей бизнеса так или иначе сталкивались с выбором и внедрением портала. И тем не менее, многие предприятия еще стоят на пороге принятия решения о запуске проекта внедрения корпоративного портала. Надеюсь, мой краткий обзор поможет Вам сделать первый шаг в этом направлении.

   Итак, все портальные решения, представленные сегодня на рынке, можно условно разделить на три группы:

• платформы для создания корпоративных порталов;
• коробочные продукты (готовые решения) на базе платформ;
• решения, предлагаемые как SaaS сервис (облачные решения).

   Рассмотрим их последовательно.