Вирусы, Шеллы, редиректы итд

http://cmsheaven.org/extensions/joomla/sexy-polling-pro/ - css и js генерится почти не защищенными php скриптами воспринимающими гет запросы///// хотя компонент хороший и я его много где использую... но люди ставящие его бездумно рискуют....
https://www.dropbox.com/s/h61pwethp0fuk80/Скриншот 2015-02-17 12.55.40.png?dl=0

А как по мне так ничего страшного если проверять и фильтровать эти запросы...

в принципе да... там они проверяют... - по сути только цифры принимаются... но люди изобритательные сильно)) у меня раньше сайтик сильно пострадал от похожей логики скрипта timthumb/// а вообще странно что разраб не генерит и не сохраняет один отдельный файл стилей из php... это проще было бы мне кажется....

Чем меньше файлов цепляется к сайту, тем он быстрее грузится... если бы я писал, я бы всё в один файл объединял

Кстати, я на ВСЕХ шаблонах перед </head> всегда цепляю СВОЙ css файл чтобы он переписывал все правила, а то в реееедком шабике есть вставка файла или кода перед </head>

ооо это вообще клевая тема... я что-то вроде своего фреймворка слепил... вдохновившись логикой https://www.yireo.com/software/joomla-extensions/template-helper - смысл в том что js грамотно грузить перед закрывающим тегом боди, цсс сверху а некоторые joomla мета теги вообще лучше убирать в итоге приходится грузить скрипты примерно так <?php foreach($this->_scripts as $link => $atr) {echo '<script src="'.$link.'" type="'.$atr[mime].'"'; echo '></script>'; } ?>
а css я немного заморачиваюсь наверно, но я генерю файл если последнее изменение filemtime к-бо из грузимых через $this->_styleSheets файлов изменился - все внутри ужимается вот этим регексом
'<
\s*([@{}:;,]|\)\s|\s\()\s* | # Remove whitespace around separators, but keep space around parentheses.
/\*([^*\\\\]|\*(?!/))+\*/ | # Remove comments that are not CSS hacks.
[\n\r] # Remove line breaks.
>x'


иии я еще модули гружу необычно - глупо наверно, но
$modules = new stdClass();
$modulesStyles = explode(',', $positionsStyles);
$pn=0;
foreach($positions as $n => $position) {
$p = JModuleHelper::getModules( $position );
$attribs['style'] = $modulesStyles[$pn];
foreach($p as $n => $module){
$modules->$position .= JModuleHelper::renderModule( $module, $attribs );
}
$pn++;
}
это нужно затем чтобы в админ панели можно было новые позиции модулей фигачить ну и еще несколько бонусов от этого - например unset работает на скрипты в модулях или можно свой синтаксис клвеый сделать типо твига что-нибудь

Для выводы JS всяких можно использовать http://cmsheaven.org/extensions/joomla/jb-library-plugin/
Там всё это делается просто и легко

да, но это если норм темплейт использовать - я свой темплейт фигачу всегда - и это плюшки чисто для более быстрой и качественной разработки... - там лучше хед менять чем плагин грузить

Советую для чистого сайта, в том плане чтобы шабик под свои нужды делать, то пользуй это: http://cmsheaven.org/templates/joomla/shaper-helix3/
Великий шаблон и фреймворк.
Лёгкий во всех смыслах и очень много возможностей.

да, я его юзал когда то и гантри и варп и т3 но там все было не то что мне нужно иии кстати на joomla в отличие от других cms какое-то неадекватное кол-во самых разных фреймворков... есть ведь еще yj vertex expose - и это то что я сейчас вспомнил... вроде российский boilerplate был еще какой-то...
но мне везде чего-то не хватало... иии потом я познал силу $this и понял что ничего мне не надо - сам слеплю))) ну и просто взглянув в head.php в joomla можно много клевого найти

helix 3 это вообще новый фреймворк. обновили и кучу добавили всего

мне сильно хочется сделать адекватный ajax фреймворк если честно.... глупо и много было попыток самых разных, нооо по крайней мере я себе так успокаиваю когда трачу несколько часов в неделю на дороботку того что есть....

По RAXO All Module
К вопросу о попытке залить сторонний скрипт:
Для загрузки стороннего скрипта, в скрипте tb.php должен быть активен параметр ALLOW_ALL_EXTERNAL_SITES ( TRUE ) по умолчанию в скрипте стоит FALSE, т.е. загрузка разрешена со сторонних сайтов, но идет проверка по списку этих сайтов. Подделка адреса http://picasa.com.sikaram.lk не прокатит. Чтобы вообще заблокировать возможность загрузки со сторонних сервисов, достаточно выставить FALSE для параметра ALLOW_EXTERNAL в файле tb.php (modules/mod_raxo_allmode/tools/tb.php).
К вопросу о странном коде (base64) в tb.php:
https://code.google.com/p/timthumb/issues/detail?id=237 (страница скрипта на Google)
Ответ на вопрос что за код: "It's a GIF image which says "No Hotlinking" (in red)".

Так что если больше ничего не выявлено, то думаю модуль можно оставить доступным.

здесь такой вопрос, я в безопасности не очень. на днях проверил айболитом сайт на локалке(jomla 3.3.6 + EasySocial, EasyDiscuss, EasyBlog) все компоненты качал со складчины и вот что вылезло
Обнаружены сигнатуры javascript вирусов: (4)
1 Z:\home\bb\www/libraries/expose/interface/js/jquery.jfontsize.js
[x] L15 ...(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'}|;c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}r
2, Z:\home\bb\www/media/foundry/4.0/scripts/iris.js
[x] L26 ...us:50%;border-color:rgba(128,128,128,.5);box-shadow:none;width:12px;height:12px;|position:absolute;left:-10px;top:-10px;cursor:move;opacity:1;z-index:10}.iris-p
3 Z:\home\bb\www/media/foundry/4.0/scripts/iris.min.js
[x] L6 ...us:50%;border-color:rgba(128,128,128,.5);box-shadow:none;width:12px;height:12px;|position:absolute;left:-10px;top:-10px;cursor:move;opacity:1;z-index:10}.iris-p
4 Z:\home\bb\www/media/foundry/4.0/styles/iris/default.min.css
[x] L1 ...us:50%;border-color:rgba(128,128,128,.5);box-shadow:none;width:12px;height:12px;|position:absolute;left:-10px;top:-10px;cursor:move;opacity:1;z-index:10}.iris-p

последние три, это вроде как просто позиции модулей (мне так кажется, я не знаю)
а вот первый на L15 в jquery.jfontsize.js это что ? и вообще, стоит беспокоиться или нет. а то там еще Подозрение на вредоносный скрипт: (9) в easy компонентах. саму joomla вроде с офсайта качал.

http://www.jqueryscript.net/text/jQuery-Plugin-For-Altering-The-Font-Size-On-Sites-jFontSize.html - со складчины всегда все чистенькое - не раз проверял другими инструментами и вручную....

На themeforest купил шаблон Vienna, компонент слайдшоу оказался со встроенным скриптом, который грузил внешний php файл со стороннего сервера. Обнаружилось при оптимизации сайта (простенькая страничка грузилась подозрительно долго). Написал жалобу в themeforest, деньги вернули на счет. А шаблон я все равно использовал, выпилив, естественно, бяку.

Друзья подскажите.
при переходе на сайт перебрасывает на какойто левый сайт что это, как с этим бороться
http://мойсайт.ru редирект на http://ww2.мойсайт.ru/?folio=7POYGN0G2 , тут отчёт айболита кто понимает гяньте а, причем та хренатень произошла на 2х моих сайтах на разных хостингах, это значит мой комп попал в белый список вредных хакеров?

Чтто вроди этого



http://ww2.squirrelsigdrs.in/?folio=7POYGN0G2

Спойлер