कोर फ़ाइल संशोधनों के लिए जाँच करने के लिए अनुशंसित विस्तार / उपकरण?

16

जूमला साइटों को नवीनतम संस्करण में अपडेट करते समय मेरे पास हमेशा एक छोटी सी दहशत होती है कि जिस साइट को मैं अपग्रेड कर रहा हूं, वह पिछले दिनों कुछ बदमाश डेवलपर (यानी, 6 साल पहले) द्वारा बनाई गई थी, जिसमें परिवर्तन ('हैक्स') को करना है कोर जूमला फाइलें।

एक आदर्श दुनिया में मैं एक विस्तार या उपकरण होने से इस संभावित कोरोनरी से बच सकता था:

  • जूमला के प्रत्येक संस्करण में शामिल सभी कोर जूमला फाइलों को जानता है
  • मेरी जूमला पर प्रत्येक फ़ाइल की तुलना गितुब पर या जहां भी (एमडी 5 हैश तुलना की तरह भी) मास्टर जूमला स्रोत फ़ाइलों में स्थापित करें
  • यदि वे भिन्न हैं, तो अंतर खोजने के लिए एक अलग टूल को किक करें और समीक्षा के लिए उन्हें ध्वजांकित करें
  • यदि वे समान हैं, तो बढ़िया सामान, कोई कार्रवाई की आवश्यकता नहीं है
  • उपरोक्त प्रक्रिया के परिणामों का विवरण देते हुए अंत में एक रिपोर्ट तैयार करें

मुझे यह एक्सटेंशन मिल गया है, जो उपरोक्त में से अधिकांश करता है, लेकिन यह J2.5.7 या J3.X के लिए बिल्कुल भी अपडेट नहीं किया गया है - इसलिए यह बाहर है।

मेरी कंपनी में हम MyJoomla का उपयोग पूर्ण जूमला साइट 'ऑडिट' (जूमला साइटों के लिए सर्वोत्तम अभ्यास दिशानिर्देशों और सुधारों की एक लंबी सूची) का संचालन करने के लिए करते हैं, जिसका एक हिस्सा 'कोर फाइल्स इंटीग्रिटी चेक' है। हालाँकि इस सेवा का मासिक सदस्यता शुल्क है और सभी मैं वास्तव में जांचना चाहता हूं कि क्या अपग्रेड करने से पहले कोई फाइल हैक हुई है या नहीं।

किसी को भी किसी भी अन्य समाधान का पता है? के अलावा 'कोर फ़ाइलों को हैक न करें' - हाल ही में जब तक कभी-कभी अतिरिक्त, अक्सर अवैतनिक, काम के बोटलोड के बिना कुछ कार्यों को करने का कोई अन्य तरीका नहीं था।

cms  update 
codinghands
स्रोत
1
Myjoomla.com एक उत्कृष्ट उपकरण प्रदान करता है जो किसी भी जूमला कोर संशोधनों में मदद करेगा।
github.com/btoplak/Joomla-Anti-Malware-Scan-Script--JAMSS- JAMS - जो सभी फाइलों को स्कैन करता है और संभव हैक के साथ-साथ फाइल में बदलाव की तारीखों की पहचान करता है
iambertbert

जवाबों:

11

मैं git से बेहतर टूल की कल्पना नहीं कर सकता । यह उन परिवर्तनों को ट्रैक करने के लिए एक महान उपकरण है, जिन्हें आप कोड बनाते हैं (यदि आप कोई बना रहे हैं), तो सिस्टम जूमला द्वारा कोड के योगदान के लिए उपयोग किया जाता है (जो कि एक कमाल की बात है), और यह इसका उद्देश्य है!

वर्कफ़्लो बहुत सरल है और आपको बहुत चिंता मुक्त होने की अनुमति देनी चाहिए:

  1. अपनी जूमला वेबसाइट का बैकअप लें (जो आप वैसे भी पहले कर रहे थे, है ना?)
  2. बैकअप कॉपी स्थानीय स्तर पर सेट करें।
  3. git initस्थानीय प्रतिलिपि के रूट फ़ोल्डर पर चलाएँ । फिर दौड़ो git add --allऔर git commit। यह कोड का एक स्नैपशॉट लेता है जैसा कि अभी है।
  4. उस पैच को पकड़ो जो आपके वर्तमान जूमला संस्करण से मेल खाता है।
  5. उस पैच को अपनी स्थानीय कॉपी पर स्थापित करें।
  6. चलाएं git diffऔर आपके पास जो कुछ भी चल रहा है और कोर फ़ाइलों के बीच की फाइलों में सभी अंतरों की एक सूची दिखाई देगी।

मैं मानता हूं कि यह एक बहुत ही "विकासशील" उत्तर है और हर कोई कमांड लाइन में गिट का उपयोग नहीं करना चाहता है। यदि आप Git GUI (जैसे कि Github के क्लाइंट) का उपयोग करते हैं, तो आप अंतिम चरण को छोड़ सकते हैं, क्योंकि GUI आमतौर पर आपको स्वतः ही अंतर दिखाएगा।

अंततः मैं इस विधि की सिफारिश करता हूं क्योंकि यह दोनों आपको एक कौशल सिखाता है जो आपको कोड करने और जूमला में योगदान करने में मदद करेगा और यह सभी स्थानीय रूप से जाँच करता है, इसलिए आपको अपने कोड को किसी अन्य वेबसाइट या सेवा में भेजने की चिंता करने की आवश्यकता नहीं है!

डेविड फ्रिट्च
स्रोत
मुझे यह तरीका पसंद है, लेकिन आम तौर पर रखरखाव एक धन्यवाद रहित कार्य है जिसे मैं समय-नगण्य बनाने की कोशिश कर रहा हूं (इसलिए हम MyJoomi के लिए भुगतान करते हैं)। मैं यह करना शुरू कर सकता हूं, लेकिन धन्यवाद।
कोडिंगहैंड्स
1
हाँ। यदि आप पहले से ही साइट विकास को नियंत्रित करने और ट्रैक करने के लिए गिट का उपयोग कर रहे हैं तो यह और तेज़ हो जाता है, जिसकी मैं अत्यधिक अनुशंसा करता हूँ! यद्यपि यह पुरानी साइटों को समर्थन देने में मदद नहीं करता है, लेकिन git का उपयोग करना आसान हो जाएगा, इसलिए आप इसे इस तरह से जल्दी से उपयोग कर सकते हैं।
डेविड फ्रिट्स
हालांकि Git लोकप्रिय है, यह हमेशा सबसे अच्छा नहीं होता है इसलिए मैं उत्तर को सामान्य करना चाहूंगा : एक संशोधन नियंत्रण सॉफ़्टवेयर चुनें जो आपके लिए काम करता है।
मिरोक्लेव
मैं एक एक्सटेंशन को संशोधित करने और / या क्लोन करने का प्रयास कर रहा हूं जो एक 3 पार्टी टेम्पलेट के हिस्से के रूप में आता है और जो com_content को ओवरराइड करता है। सबसे पहले, मुझे इसे रिवर्स करने की आवश्यकता है, इसलिए मैं उम्मीद कर रहा हूं कि यह समाधान मुझे संशोधित और अतिरिक्त फ़ाइलों (भले ही बहुत हो सकता है - मुझे एक अच्छा उपकरण और कार्यप्रणाली की आवश्यकता है) दोनों को खोजने में मदद करेगा। मुझे उम्मीद है कि यह समाधान उस :-) के लिए काम करेगा
NivF007
5

यह FFrewin के उत्तर का विस्तार है। अकीबा साइटडिफ नामक एक नि: शुल्क उपकरण भी तैयार करता है। यह आपको 2 साइटों की तुलना करने की अनुमति देता है जिन्हें अकीबाकैपअप के साथ बैकअप दिया गया है (इसका एक मुक्त संस्करण भी है)।

इसे काम पर लाने के लिए, आपके पास 2 बैकअप होना चाहिए। एक बैकअप आपकी साइट का होगा (मान लें कि यह संस्करण 2.5.19 था)। अन्य बैकअप के लिए, आपको जूमला 2.5.19 की एक नई प्रति स्थापित करनी होगी और फिर उस इंस्टॉलेशन का बैकअप बनाना होगा। इसके बाद SiteDiff टूल का उपयोग करके दो बैकअप की तुलना करें।

इस पद्धति के साथ एक समस्या यह है कि आपके पास अपने नए इंस्टॉलेशन की तुलना में आपकी साइट बैकअप में अधिक फाइलें होंगी। अतिरिक्त फाइलें अंतर के रूप में दिखाई देंगी, संभवतः शेष 'शोर' से मुख्य परिवर्तनों को समझना मुश्किल बना देगा।

और कोशिश करो
स्रोत
3

http://audit-fs.co.za/ के पास ऑडिट_एफएस नामक एक निशुल्क उपकरण है जो आपको संशोधित जूमला फाइलों और / या संभवतः दूषित जूमला फाइलों को दिखाता है।

एक बुनियादी सुरक्षा उपकरण के रूप में ऑडिट_एफएस केवल आपकी जूमला! ® फ़ाइलों के ऑडिट करने के लिए डिज़ाइन किया गया है, साथ ही आपकी फ़ाइल और निर्देशिका अनुमतियों की जाँच कर रहा है। यह आपके डेटाबेस रिकॉर्ड में किसी भी परिवर्तन या हैकिंग के लिए जाँच नहीं करता है और न ही आपके द्वारा स्थापित एक्सटेंशन से किसी भी फाइल की जाँच करता है। ऑडिट रिपोर्ट भी .htaccess, robots.xt, कॉन्फ़िगरेशन.php, configuration.php-dist और Copyright.php की अनदेखी करेगी।

रिचर्ड
स्रोत
2

मुझे आपके द्वारा उल्लेखित के अलावा कोई भी एक्सटेंशन नहीं पता है, जिसे J2.5 में कहीं बंद कर दिया गया है।

इसे संभालने का मेरा तरीका फ़ाइल / फ़ोल्डर तुलना के लिए डेस्कटॉप अनुप्रयोगों का उपयोग करना है और मैं साइट की तुलना इसके मूल जूमला संस्करण से करता हूं। मैं व्यक्तिगत रूप से मैक पर DiffMerge का उपयोग करता हूं।

एक और उपयोगिता मुझे पता है कि आपकी साइट पर हैक की गई / संशोधित फ़ाइलों को ट्रैक करने में आपकी मदद कर सकता है वह है एडमिन टूल्स प्रो। यह php स्कैनर टूल प्रदान करता है। लेकिन व्यावहारिक रूप से यह एक ऐसी साइटों के लिए है जिसे आपने लॉन्च करने के बाद विकसित और स्कैन किया है, और हैकिंग प्रयासों के बाद किसी भी संक्रमित फ़ाइलों को खोजने में आपकी मदद करने के लिए।

FFrewin
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.