Плагин сканирования файлов сайта по хеш-сумме и отправки отчета на email - Расширения форумчан

Плагин SkanDir сканирования файлов сайта по хеш-сумме и отправки отчета на email.
Многие но не все используют скрипты для сканирования файлов сайта по хеш-сумме и мы решили написать плагин начиная с версии 3.4.* который будет в публичном доступе и распространятся бесплатно.

Бета версия, нужна помощь в тестировании и пожеланиях для доработки.

Плагин сканирует файлы сайта и отправляет отчет на указанную почту. Сканирование производится при обращении к сайту сравнивается с хеш-суммами и если есть разница то отправляется отчет на почту об произошедших изменениях.

Скрипт взят с просторов интернета и обернут в плагин, в настройках указывается email для получения отчета, название файла по умолчанию стоит .scan_dir обязательно сменить на свое для записи хеш-сумм файлов, время для нагруженных сайтов или для шарада хостов устанавливается промежуток сканирования от время изменения файла, два варианта записи в файл хеш-сумм. Также для тестирования можно включить логи которые записываются в папку сайта /logs/, в настройках также нету ограничений по директориям, имени и расширению файлов (сейчас не выводится пока будет проводится тестирование).
Комментарии в коде уже имеются и будут дописываться в процессе тестирования и доработки.

Что интересует в тестировании так это:

- нагрузка на высоко посещаемых проектах
- нагрузка на сайтах с большим объемом файлов без исключений
- пожелания по функционалу, которые возможно не учли (хотя вроде все что требуется есть)

Не рекомендуется установка плагин на слабые хостинги с оперативной памятью ниже 256Мб.
Установка возможна только при настройки исключения из сканирования папок и файлов, что не даст должных результатов при сканировании.

Версию решили выложить у себя для скачивания что бы проще было её менять.

Скачать:
SkanDir (версия 1.0.1)

Исправлена ошибка записи хэш-суммы файлов

SkanDir (версия 1.0.2)

Вынесена запись файла хеш-сумм в каталог на уровень выше
Уменьшен размер записи файла хеш-сумм

SkanDir (версия 1.0.3)

В настройках появился выбор записи файла хеш-сумм в корневую директорию или на уровень выше.

НЕТ - Если у вас хостинг позволяет запись выше корня сайта и вы не настраивали ограничений на запись в папки.
ДА - Если вы не знаете о чем речь, то можете только проверив установкой и просмотром записан ли файл в каталог на уровень выше корня сайта.

Настройки плагина Описание по настройкам с изображениями.

Выложено на гитхаб

Авторы плагина:
jlend
Филипп Сорокин

Плагин готов и уже не бета версия, просьба, всем кто пользуется оставлять комментарии и была отправки почты со сбитой кодировкой в некоторых месенджерах её поправил и просьба если у кого то будет не верная отписаться.

Спасибо всем участникам сообщества, кто откликнулся и помог высказав свое видение и в доработке.


Еще расширения:
Плагин перезвоним

Коллеги, давайте дружно поможем протестируем нужное и хорошее расширение.

коллеги с подозрением относятся к плагинам, распространяемым незнамо кем
товарищ ТС, вы бы о себе чего-нить написали на своем же сайте, который, кстати, закрыт для посетителей.
тестирование подразумевает рабочую площадку с реальной нагрузкой, и как-то не очень хочется загружать туда анонимные всякие плагины.

коллеги с подозрением относятся к плагинам, распространяемым незнамо кем
товарищ ТС, вы бы о себе чего-нить написали на своем же сайте, который, кстати, закрыт для посетителей.
тестирование подразумевает рабочую площадку с реальной нагрузкой, и как-то не очень хочется загружать туда анонимные всякие плагины.

Можно за них скажу.
Это наша молодежь, со временем о них все узнают.
 

Можно за них скажу.
Это наша молодежь, со временем о них все узнают.
 

Спасибо, за поддержку.

тестирование подразумевает рабочую площадку с реальной нагрузкой, и как-то не очень хочется загружать туда анонимные всякие плагины.

Не обязательно тестировать на рабочих проектах, можно просто посмотреть код и написать свое мнение или указать на какие либо ошибки и улучшения.

Мы не на все 100% разработчики по Joomla, работаем и с ней и с другими CMS, из-за этого и создали топик. Нужно мнение и оно любое для нас ценно.

Коллеги, давайте дружно поможем протестируем нужное и хорошее расширение.

+

В гитхаб бы опубликовали!

Пока навскидку: тяжело читать. Код бы причесать не мешало, если призываете других к контрибьюторству. О стандартах кодинга на J! можете почитать здесь: http://joomla.github.io/coding-standards/

И вопрос такой: зачем подключать библиотеку плагинов в системном плагине?

Спасибо учтем ваше мнение на счет гитхаба. Код согласен надо причесывать это на коленке выполнял за пару часов накидал.

И вопрос такой: зачем подключать библиотеку плагинов в системном плагине?

Код

jimport('joomla.plugin.plugin');

Это бетка для тестирования код остался от другого плагина еще не чистился мусор в коде.

Присоединяюсь к Филипп Сорокин.
Есть вопросы:
1. Здесь вы сократили $olddata на 1 элемент, с ним что, не нужно сравнивать?
2. Не нравится мне такой стиль:
3. "excluded" откуда взялась?
4. Зачем засунули функцию slog() внутри onAfterRender()?

Хорошо

соавторов/контрибьюторов включить в авторский лист

Куда вы претесь? Плагинчик-то всего один .

Я думал вы призывали к контрибьюторству, чтобы соавторов/контрибьюторов включить в авторский лист.

Конечно к этому и призываем, всех будут прописаны, если неправильно выразился или не так меня поняли то прошу прощения. Лично у меня мало опыта с Joomla из-за этого топик и создан, нужна любая помощь.

Помощь вам нужна, значит, "талантливая молодёжь"? Ахахах! Сами раскручивайте Ваш JLend — у меня собственное "предприятие" есть.

На счет раскрутки вы взря так, у меня нету ни какого даже намека на раскрутку чего либо.

Готовый плагин будет выложен в публичный доступ после полной доработки и если это возможно то думаю его выложить тут прикрепленным к топику и если не откажутся админы на joomlaportal.ru и на любых других ресурсах рф и снг.
На счет JED не загадываю.

На счет гитхаба в голову не пришла мысль даже, потому что тут разработчики и подумал, что проще общаться тут же.

Еще раз прошу прощения, за недопонимание и если неправильно выразил свои мысли.

http://extensions.joomla.org/extension/eyesite чем плагин лучше?

Это совершенно разные расширения plg_scandir не равно com_eyesite

И чем они отличаются?

4. Зачем засунули функцию slog() внутри onAfterRender()?

slog() полностью только для тестирования написана, потом не будет

Ещё из того, что увидел на поверхности:

// Проверяем, какой режим назначил пользователь для сравнения, если режим не выбран то используем режим по умолчанию.
if(isset($_REQUEST['mode']) && in_array($_REQUEST['mode'], $availableModes)){
    $mode = $_REQUEST['mode'];
}

Не используйте глобальные массивы. Вместо этого используйте встроенный объект фреймворка JInput

Почитать можно здесь: https://docs.joomla.org/Retrieving_request_data_using_JInput

Знаете, что я скажу!? При нагруженном сайте ваш скрипт будет в лучшем случае подвешивать его, в худшем сайт будет падать в ошибку нехватки памяти.
Не все юзают виртуальные/выделенные сервера, да  и там тоже имеются ограничения.
Радует данный массив:

Ладно, если скан только по php файлам и то их в Joomla дофига.

Далее, плагин это хорошо, но бессмысленно.

Мое мнение, вообще идеологически не верный подход к методам сканирования.

Исключение папки /cache я понимаю.Но именно папка кеш любимое место для вирус/шелл .
Советую в реадми отметить эту особенность .

Было много похожих скриптов, создавались сервисы, наподобие Санти, создавались всевозможные дополнения, но кто оценил их эффективность?

Прошу не пинать сразу, но задуматься вот над каким вопросом: сейчас мы пытаемся контролировать целостность файлов ядра путем сохранения каких то данных - даты создания, размера, хеша и т.д. Однако, если я хакер и мне удалось получить доступ к сайту, получить права на запись, я смогу не только внести изменения в любой файл, но и получить и перезаписать его хеш, хранимый в базе. То есть, если сайт подвергается целевому взлому, плагин не то что бесполезен, он еще опасен, т.к. владелец, не видя предупреждений, думает, что все в порядке.

В одной из моих тем (наверное, многие помнят), тов. voland заставил задуматься как раз над этим вопросом. Для сравнения приведу пример с квартирой. На сколько вы способны защитить квартиру и находящееся в ней имущество от проникновения и кражи? Вы поставили дверь с замком и сделали инвентаризационную опись имущества, которую повесили на стене рядом с дверью. Сосед просек это дело и, подобрав ключи от двери, пришел и, вынеся из квартиры часть вещей, заменил опись на свою. Вы возвращаетесь, дверь на месте, опись на месте, вещи по описи все на месте...

Имхо.

Это совершенно разные расширения plg_scandir не равно com_eyesite

Ни чем не разные, функционал идентичен. Разница в хранимом месте. Только там компонент, в котором можно увидеть всю информацию. Ну и плагин есть, правда платный. Но если продукт хороший, то можно и потратить 500 руб на его приобретение.

Данный плагин должен быть выполнен в виде демона и не на PHP написан. В этом случае имеется возможность, что его не засекут и не отключат.

Я использую вот такое решение santivi.com
Посмотрите, может найдете свежии идеи.
Код там открытый

да тут идея больше уведомить владельца, об изменениях в файлах/каталогах, а не сканирвоание на вирусы

да тут идея больше уведомить владельца, об изменениях в файлах/каталогах, а не сканирвоание на вирусы

Санти именно так и работает: уведомляет об изменениях в файлах

Поставил пока на два сайта. Достойная замена используемого мною пхп-скрипта, который по Cron проверяет изменения файлов на сервере с отсылкой отчета.
Отличное дополнение к безопасности вместе с RSFirewall. Из пожеланий: добавить в опции возможность указать файлы и папки, которые можно исключить из проверки.

Поставил пока на два сайта. Достойная замена используемого мною пхп-скрипта, который по Cron проверяет изменения файлов на сервере с отсылкой отчета.
Отличное дополнение к безопасности вместе с RSFirewall. Из пожеланий: добавить в опции возможность указать файлы и папки, которые можно исключить из проверки.

Будет включено в процессе доработки исключения файлов и папок они уже есть и тестирую, в админ панели уже есть поля для ввода файлов и папок.
Сейчас уже включил выставление времени сканирования, выставляется в минутах по умолчанию при установке время стоит сутки 1440 минут его каждый может изменить на свое желаемое в настройках плагина.
В настройках также сделан выбор сканирования и записи либо по атрибутам файла либо по его контенту.

Выложил на гитхаб

Алексей, чтобы не было путаницы в пулл-реквестах, вы как-нибудь дайте знать, что проанализировали текущие пулл-реквесты и можно делать следующие. Просто, не хотелось бы вас загружать. Можно обсуждать вопросы на гитхабе в комментариях или прямо в этой теме.