Вход • Регистрация

Ненависть Dr.Web сайтов на Diafan

  • 31 августа 2016 г.
  • Х...м, может ваш сервак попал под разнос доктора???
    • 31 августа 2016 г.
    • Неа. Сторонние скрипты.
      • 31 августа 2016 г.
      • Есть группа вирусняков, которые внедряются в htaccess и вредят только определенным устройствам, или посетителям с определенным рефером. Типа пришел из яндекса - на тебе редирект на дорвей. Или если ты с мобилы, на тебе установка апк какого-нибудь.
        Если эти косяки есть, надо сервак смотреть, особенно если там много разных сайтов и много людей доступ имеют.
        • 01 сентября 2016 г. , редакция: 01 сентября 2016 г.
        • Безусловно, возможно. Но это явно не сервак, т.к. указанная проверка антивирусом анализирует лишь выдаваемый ему результат запроса. Соответственно антивирусник в ответе сообщает, что именно выдает не зеленый ок. Значит локализовать не сложно. Затем можно задаться вопросом, а с чего это вдруг возникло. И здесь начнется интересный квест. На мой взгляд самое увлекательное действо. Единственное, только не увлекайтесь, а то валидность cms отключите :))
          PS: лично я против отключения валидности.
          • 01 сентября 2016 г. , редакция: 01 сентября 2016 г.
          • Сайт, кстати, может попасть в немилость и по вине сервака. У меня был случай, когда сайт не проходил проверку именно по причине того, что дефолтный IP хостинга уже был в базе Dr.Web. После смены проблемного IP на другой в админ-панели, всё сразу приходило в норму.
            • 01 сентября 2016 г. , редакция: 01 сентября 2016 г.
            • Опять же, основное слово - ip, а не сервак. После смены ip, сервак-то прежний остался.
            • 01 сентября 2016 г.
            • То-есть раньше у нас были проблемные сайты на Joomla! которые ловили вирусы мы их лечили-лечили затем перенесли на Diafan. Атаки прекратились. И теперь из за этого шлейф тянется по всем сайтам клиентов? Получается так.
              Придётся терроризировать поддержку Dr.Weba. Спасибо Всем.
              • 01 сентября 2016 г. , редакция: 01 сентября 2016 г.
              • Цитата
                Получается так.
                Придётся терроризировать поддержку Dr.Weba.
                Быстрое решение от Любимова Павела (webnavigator):
                Цитата
                После смены проблемного IP на другой в админ-панели, всё сразу приходило в норму.
              • 01 сентября 2016 г.
              • Цитата
                И теперь из за этого шлейф тянется по всем сайтам клиентов? Получается так.
                Ну обычно злоумышленники себе шеллов раскладывают по всем папкам, по неприметным глубоким адресам. И потом оттуда уже грузят новые через веб-интерфейс, в том числе на соседние сайты на сервере
              • 01 сентября 2016 г.
              • Исключено - на хостах лежат копии сайтов выгруженные из GIT если появляются несанкционированные изменения даже внутри файлов мы можем всё это отследить.
              • 02 сентября 2016 г.
              • Почитал что такое "GIT" и чуть мозги в трубочку не свернулись... А зачем оно в сайтостроительстве???
              • 02 сентября 2016 г.
              • Если честно я вообще не представляю как люди до сих пор не используя системы контроля версий занимаются разработкой сайтов.
                Не ну тут дело подходов конечно. Если для того чтобы продать сайт нужно всего-то скачать дистрибутив СМS, установить, залить шаблон, накидать инфы на несколько страниц и забыть, то конечно да подобного рода системы наверное не нужны.
                А когда стоит задача необходимости доработки или расширения функциональности, да ещё над сайтом одновременно работают несколько разработчиков, плюс его надо поддерживать и улучшать и дальше, то тут даже какбы невозникает вопрос, почему это вдруг нам теперь надо использовать Систему контроля версий. Это прежде всего удобно информативно и можно откатиться и не бояться вирусов и прочей чёрной магии которой обладают Чёрношляпые хакеры.
                И тут какбы нечего боятся а давно уже стоит взять на вооружение. Можно даже пройти бесплатные онлайн курсы и убедиться в том насколько это всё просто и удобно.
                Мало того некоторые даже локально используют GIT вместо Антивируса ну это какбы совсем другая история.
              • 02 сентября 2016 г.
              • Ну, если ежедневно, перед началом работы, всегда делать бекап средствами сервера, то вполне достаточно.
                Кроме того, можно делать бекап лишь папки custom.
                Кроме того, наш программист работает на отдельном поддомене, а после его наработки переносим. Т.е. программист и верстальщик не пересекаются.
              • 02 сентября 2016 г. , редакция: 02 сентября 2016 г.
              • А как переносите? Прямо вот так всю папку фух и неважно в каких файлах были изменения?

                У нас стоит скрипт который реагирует на изменения в основной ветке и как только такое произошло он выгружает изменения на рабочий сайт.
                Фактически над проектом могут работать несколько разработчиков каждый работает в своей песочнице и как только реализуется какое-то стабильное решение сразу бац и оно уже на сайте. Все манипуляции происходят прямо в IDE не надо лазить ни на какие FTP как-то готовить материал и страдать всякой ерундой, которая отнимает массу времени.
                Ну и опять же если ломанули где искать закладки и зло код который вкорячили?
                Берём сливаем в отдельную ветку состояние с хостинга и чекаем изменения они сразу видны решаем проблему лотаем дырку и заливаем сайт из мастер ветки обратно в том состоянии в котором он был до взлома. Уах.
                Вообщем использование GIT это сказка.

                P/S и самые ништяки - можно подглядывать что делают разработчики Diafan когда выкатывается каждый следующий апдейт . Смотрим лог и сверяем с картой изменений и сразу понятно где что добавили и что поменяли.
              • 02 сентября 2016 г. , редакция: 02 сентября 2016 г.
              • Цитата
                Ну и опять же если ломанули где искать закладки и зло код который вкорячили?
                Берём сливаем в отдельную ветку состояние с хостинга и чекаем изменения они сразу видны решаем проблему лотаем дырку и заливаем сайт из мастер ветки обратно в том состоянии в котором он был до взлома. Уах.

                Денис, а как отреагирует Git, если при создании сайта (допустим) Вы подключили клевый бесплатный слайдер, не вникая в его код. А потом оказалось, что бесплатность компенсируется некой неконтролируемой Вами работой.
                Или другой момент. Возьмем cms.diafan. Вы спрограмировали, что-то на ней, но (далее это только в качестве моделирования, которое не применяется к Вам лично) решили использовать cms неправомерно. И вот. Админка заблакировалась. :)) Как так? Почему Git не подсказал? Или полагаете, что git подскажет?
              • 02 сентября 2016 г.
              • Цитата
                а как отреагирует Git, если при создании сайта (допустим) Вы подключили клевый бесплатный слайдер, не вникая в его код. А потом оказалось, что бесплатность компенсируется некой неконтролируемой Вами работой.

                Нужно подключать не клёвые бесплатные слайдеры а решения в которых уверен на 100%. А уж если такое случилось то его можно всегда выпилить. Какие проблемы. ГИТ как работал так и будет работать.
                Цитата
                Как так? Почему Git не подсказал? Или полагаете, что git подскажет?

                Я не полагаю, я чётко знаю в чём заключается идея использования ГИТа. ГИТ это ещё раз обращу ваше внимание - система контроля версий, он сохраняет историю изменения ваших рабочих файлов. Количество точек задаёт программист. Как правило каждая точка это изменение программного кода на 1 функцию или исправление какого либо бага. Причём структура может быть не линейная а достаточно витиеватая. Можно ходить по узлам и веткам и смотреть сделаные изменения.
                Функций анализа и прогноза того как работает программа в ГИТе нет это не советчик. Для этого возможно существуют другие программы. Есть же всякие Юнит тесты только для их использования надо писать код особым образом.
              • 02 сентября 2016 г.
              • Ну залили вы из бэкапа вас опять взломали - на который раз у вас закончится терпенье восстанавливать?
                У нас была такая ситуация с Джумлой до того как мы стали использовать ГИТ. Потом мы перетащили сайт на Diafan и всё взломы прекратились.
              • 02 сентября 2016 г.
              • Денис, Вы не совсем точно поняли меня. Я привел Вашу фразу о том, что "если ломанули код, то слив его в отдельную ветку git, можно найти где именно сломали". После этого я привел пример о том, что git только сравнивает версии текста, и именно поэтому полагаться на него при поиске проблемы не стоит, т.к. плохой код может там быть в изночальной версии.
                В части Вашей фразы об использовании кода, в котором уверен на 100%. Любой код я читаю от и до. Рекомендую это делать всем хотя бы потому, что бесплатный код всегда отличается от платного по многим критериям. Да и (если говорить о платном коде) пределу совершенства - нет.
              • 02 сентября 2016 г.
              • Где именно сломали это пожут логи. А куда понапихали и чего именно это покажет ГИТ.

Новости

  • 18 июня
  • В сборке большое обновление demo-шаблона, дополнительная защита от спама, улучшение YML-импорта и еще много важного и интересного.
  • 24 апреля
  • В новой сборке совершили революцию в структурировании кастомизированной информации в шаблонах, добавили авторегистрацию пользователей, усовершенствовали защиту от спама, актуализировали накопительную скидку, а также улучшили производительность и стабильность работы системы.
  • 12 января
  • После выхода сборки 7.1 мы выпустили уже три патча, в каждом из которых улучшаем административную часть сайта. Сборка DIAFAN.CMS 7.1.3 уже доступна к установке. 

Форум