Новости Joomla

20 лет Joomla: Ринат Кажетов.В 2025 году Joomla исполнилось 20 лет

20 лет Joomla: Ринат Кажетов.В 2025 году Joomla исполнилось 20 лет

👩‍💻 20 лет Joomla: Ринат Кажетов.В 2025 году Joomla исполнилось 20 лет. Вокруг неё сложилось большое интернациональное русскоязычное сообщество. На сайте нашего сообщества и на Хабре к юбилею были собраны интервью с его видными представителями. Сегодня мы читаем интервью с Ринатом Кажетовым (@rkazhet). Ринат - один из администраторов чата русскоязычного Joomla-сообщества, из Казахстана. Это человек, который всегда знает или найдёт нужную ссылку, пристально следит за новостями в мире Joomla, многое узнаёт первым и просто очень отзывчивый человек. Интервью с Ринатом взял Евгений Сивоконь.Читать интервью@joomlafeed#joomla #community

20 лет Joomla: Ринат Кажетов

WT AmoCRM - RadicalMart плагин интеграции интернет-магазина на Joomla с CRM

👩‍💻 WT AmoCRM - RadicalMart плагин интеграции интернет-магазина на Joomla с CRM.Плагин умеет отправлять данные заказа из Joomla компонента интернет-магазина RadicalMart в AmoCRM, а так же оставлять примечания к сделке при смене статуса заказа (выберите необходимые статусы заказа RadicalMart в настройках плагина).Возможности плагина - создание сделок в AmoCRM в момент создания заказа в интернет-магазине RadicalMart- выбор воронки AmoCRM, в которой создавать сделки- выбор тега, которым будут помечаться созданные сделки- в комментарий к сделке при создании заказа пишутся:-- точная общая сумма заказа (Amo CRM не принимает дробные значения в поле бюджет, например с копейками)-- статус заказа-- информация о доставке (способ, адрес и комментарий)-- информация о способе оплаты-- контактные данные покупателя (могут отличаться от данных пользователя, создавшего заказ. Например, если доставка для другого человека)-- прямая ссылка на заказ в панели администрирования сайта-- список товаров заказа (опционально)добавление комментария к сделке при изменении статуса заказа в интернет-магазине RadicalMart (выберите необходимые статусы заказа в настройках плагина)-- добавляет в интерфейс просмотра заказа ссылку на сделку в AmoCRM, если таковая обнаружена (соответствие заказов и сделок хранится в базе данных)-- UTM-метки для сделки. Указывает, если на сайте используется комплект плагинов RadicalForm и WT AmoCRM - RadicalForm.
Для работы плагина необходима установка и настройка библиотеки WT Amo CRM library для Joomla версии 1.3.0 и выше.
Плагин бесплатный. Тестировался на Joomla 5.4 и RadicalMart 2.2.4.Страница расширения и скачатьТак же:- Интернет-магазин RadicalMart- WT Amo CRM библиотека интеграции Joomla и AmoCRM- RadicalForm плагин обратной связи- WT AmoCRM - RadicalForm - плагин отправки сообщений из RadicalForm в AmoCRM@joomlafeed#joomla #crm #amocrm #radicalmart

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 20 Ответов
  • 7206 Просмотров
*

Lix

  • Захожу иногда
  • 56
  • 4 / 0
Взлом (залили шелл) и наблюдения в логах
« : 20.03.2013, 12:25:25 »
В общем в один день взломали 4 сайта (2.5.9, расширения разные стоят, учетки разные) залив шелл. По результатfм работы вставляет множественные iframe

Общее - в tmp файл j.php с таким содержимым
Спойлер
[свернуть]
Там же файлs с меняющимися именами типа jos_d9yn.php (если что, то никакого  vBulletin в помине нет)
Спойлер
[свернуть]

Далее, по разным папкам распиханны файлы типа 07add02e4.php (спасибо создателю far http://secu.ru/scripts/find-and-replace - с его помощью быстро отыскал все по образцу)
Спойлер
[свернуть]
Подозреваю что есть еще где-то включения, но пока не нашел, просто не знаю по какой сигнатуре искать.


Теперь самое интересное. Сделав поиск по логам по айпишнику из первого файла обнаружил везде одинаковое первое вхождение такого вида
"POST /index.php?nn_qp=1&url=http://www.nonumber.nl/ HTTP/1.1"

Сам index.php не переписан, сравнивал побайтно с оригинальной версией. Возникает вопрос - что за переменная nn_qp, и почему ее обрабатывает оригинальный index.php, да еще и принимая URL  придачу? Судя по оптовову взлому (там же еще два сайта, их не взломали, но они и практически незасвеченные, там 1-2 посетителя в день) использовали какую-то уязвимость. Но конфигурация сайтов разная, JCE или там Vitruemart нигде не используется, общее на всех сайтах (ну помимо самой Joomla) только использование Xmap и плагина mavik Thumbnails.
« Последнее редактирование: 04.05.2013, 21:49:44 от flyingspook »
Записан
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #1 : 20.03.2013, 13:13:40 »
Цитата: Lix от 20.03.2013, 12:25:25
Сделав поиск по логам по айпишнику из первого файла обнаружил везде одинаковое первое вхождение такого вида
"POST /index.php?nn_qp=1&url=http://www.nonumber.nl/ HTTP/1.1"
Стоят ли какие-то расширения от nonumber? В Nonumber framework была дырка, патч вышел ещё в 2011 году.

Цитата: Lix от 20.03.2013, 12:25:25
что за переменная nn_qp, и почему ее обрабатывает оригинальный index.php, да еще и принимая URL  придачу?
В оригинальный корневой index.php весь движок идёт инклудом. Переменная относится к Nonumber (фреймворк так должен получать информацию об апдейтах)

Цитата: Lix от 20.03.2013, 12:25:25
Xmap
Дважды выявлялись SQL-инъекции (последняя 2011-07-14).
Записан
*

SolopoV

  • Давно я тут
  • 576
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #2 : 04.05.2013, 21:13:20 »
Цитата: WebDisaster от 20.03.2013, 13:13:40
Стоят ли какие-то расширения от nonumber? В Nonumber framework была дырка, патч вышел ещё в 2011 году.
В оригинальный корневой index.php весь движок идёт инклудом. Переменная относится к Nonumber (фреймворк так должен получать информацию об апдейтах)
Дважды выявлялись SQL-инъекции (последняя 2011-07-14).
Есть заплатка у кого нибудь на Nonumber framework ?
Записан
*

wishlight

  • Гуру
  • 5074
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #3 : 04.05.2013, 21:46:23 »
http://www.nonumber.nl/news/releases/285-security-fixes--all-nonumber-extensions. Но! Несоответствующее расширение фреймворку ложит сайт. Так что просто качаем обновления расширений с сайта нонумбера и ставим их. Фреймворк в комплекте. Все последние расширения для Joomla 1.5 доступны в старых версиях.
Записан
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #4 : 06.05.2013, 21:53:11 »
Цитата: wishlight от 04.05.2013, 21:46:23
http://www.nonumber.nl/news/releases/285-security-fixes--all-nonumber-extensions. Но! Несоответствующее расширение фреймворку ложит сайт. Так что просто качаем обновления расширений с сайта нонумбера и ставим их. Фреймворк в комплекте. Все последние расширения для Joomla 1.5 доступны в старых версиях.
Разве доступны расширения для Joomla 1.5? Например, Cash Cleaner для Joomla 1.5 нет.
Записан
*

SolopoV

  • Давно я тут
  • 576
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #5 : 06.05.2013, 22:04:54 »
Цитата: playtoppokerru от 06.05.2013, 21:53:11
Разве доступны расширения для Joomla 1.5? Например, Cash Cleaner для Joomla 1.5 нет.
Я просто обновил фреймворк, потому как после установки новых версий плагинов типа Cash Cleaner - сайт падает. Думаю вообще отказаться от NoNumber.
Записан
*

SmiP

  • Захожу иногда
  • 264
  • 35 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #6 : 06.05.2013, 22:09:04 »
Cash Cleaner
29-Jun-2012 : v2.2.0
Download: Free
+ [J2.5] Added ability to purge the update cache when choosing Purge Expired
! Removed ability to install on Joomla 1.6 and 1.7
! [J1.5] LAST VERSION COMPATIBLE WITH Joomla 1.5
^ Cleaned a lot of code
^ Updated translations: hu-HU, lt-LT, sl-SI
Записан
*

SolopoV

  • Давно я тут
  • 576
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #7 : 06.05.2013, 22:25:28 »
Цитата: SmiP от 06.05.2013, 22:09:04
Cash Cleaner
29-Jun-2012 : v2.2.0
Download: Free
+ [J2.5] Added ability to purge the update cache when choosing Purge Expired
! Removed ability to install on Joomla 1.6 and 1.7
! [J1.5] LAST VERSION COMPATIBLE WITH Joomla 1.5
^ Cleaned a lot of code
^ Updated translations: hu-HU, lt-LT, sl-SI
А какую там версию качать Modalizer и AdminBar Docker, не подскажешь? Что то я там нифига понять не могу..
Записан
*

playtoppokerru

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #8 : 06.05.2013, 22:31:06 »
Цитата: SmiP от 06.05.2013, 22:09:04
Cash Cleaner
29-Jun-2012 : v2.2.0
Download: Free
+ [J2.5] Added ability to purge the update cache when choosing Purge Expired
! Removed ability to install on Joomla 1.6 and 1.7
! [J1.5] LAST VERSION COMPATIBLE WITH Joomla 1.5
^ Cleaned a lot of code
^ Updated translations: hu-HU, lt-LT, sl-SI
Как Вы выходите на эту ссылку? Мне еще последний modalayzer нужен для Joomla 1.5. Все, нашел.
Спасибо. Хотя эти версии уже не поддерживаются и могут быть уязвимы, как я понимаю.
« Последнее редактирование: 06.05.2013, 22:35:17 от playtoppokerru »
Записан
*

SmiP

  • Захожу иногда
  • 264
  • 35 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #9 : 06.05.2013, 22:38:38 »
Зайдите на сайт nonumber.nl
выбирите интересующий Вас компонент или плагин
Внизу, где указывается крайняя версия выбирите "Download old versions" и поищите для J1.5
Записан
*

SolopoV

  • Давно я тут
  • 576
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #10 : 06.05.2013, 22:50:16 »
Цитата: SmiP от 06.05.2013, 22:38:38
Зайдите на сайт nonumber.nl
выбирите интересующий Вас компонент или плагин
Внизу, где указывается крайняя версия выбирите "Download old versions" и поищите для J1.5
Это я знаю, мать писала :)
В Changelog for Modalizer найдите хоть одно упоминание про 1.5
Приходится через гимор.. методом тыка. К примеру мне подошел только cachecleaner-v2.1.0 (обновлять PHP на сервере и локалке с 5.2 до 5.3 из за пары плагинов :)?  ) - смешно. В общем, эту дырку толком не решить видимо.
« Последнее редактирование: 07.05.2013, 00:08:13 от SolopoV »
Записан
*

wishlight

  • Гуру
  • 5074
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #11 : 07.05.2013, 07:56:44 »
Кто не может, тому в коммерческий раздел. Многие так и поступили. Там очень четкие упоминания, что куда подходит.
Записан
*

SolopoV

  • Давно я тут
  • 576
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #12 : 07.05.2013, 08:12:57 »
Цитата: wishlight от 07.05.2013, 07:56:44
Кто не может, тому в коммерческий раздел. Многие так и поступили. Там очень четкие упоминания, что куда подходит.
Смысл? Когда для Юзера все решается Виджекитом или JCE.
Признателен за дискуссию.
Записан
*

wishlight

  • Гуру
  • 5074
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #13 : 07.05.2013, 08:17:10 »
cache cleaner, а не cash... Кому нужно говорю.
Записан
*

SolopoV

  • Давно я тут
  • 576
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #14 : 07.05.2013, 09:09:07 »
Цитата: wishlight от 07.05.2013, 08:17:10
cache cleaner, а не cash... Кому нужно говорю.
Это не суть.. Редирект на сервере - вот суть.
Записан
*

SolopoV

  • Давно я тут
  • 576
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #15 : 07.05.2013, 09:11:43 »
Код
125.253.118.88 - - [27/Apr/2013:11:23:55 +0600] "POST /index.php?nn_qp=1&url=http://www.nonumber.nl/ HTTP/1.0" 200 26 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja; rv:1) Gecko/20110403 Firefox/3.6a1pre"
125.253.118.88 - - [27/Apr/2013:11:24:00 +0600] "POST /images/j.php HTTP/1.0" 200 183 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja; rv:1) Gecko/20110403 Firefox/3.6a1pre"
125.253.118.88 - - [27/Apr/2013:11:24:03 +0600] "POST /images/j.php HTTP/1.0" 200 174 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja; rv:1) Gecko/20110403 Firefox/3.6a1pre"
125.253.118.88 - - [27/Apr/2013:11:24:05 +0600] "GET /images/jos_ihxu.php HTTP/1.0" 200 35674 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; ja; rv:1.9.2a1pre) Gecko/20090403 Firefox/3.6a1pre"
И тут всем помог Andrew!
В индекс корня:
Код
if (isset($_REQUEST['nn_qp'])) 
{
header("Location: http://natribu.org/"); 

exit;
}
Через SSH
Код
find ./ -type f -name "*.js" -exec chmod 444 {} \;

find ./ -type f -name "*.php" -exec chmod 644 {} \;
Ну и в любом плагине блокировки: (хотя все в этом мире относительно)
Код
BAN IP

195.16.226.202
65.202.239.135
194.242.59.43
175.107.185.52
91.192.171.51
91.232.96.17
89.218.192.128
109.254.21.92
109.92.101.23
178.125.150.102
76.164.194.90
178.125.205.189
218.58.83.232
173.208.45.178
123.235.79.15
188.143.232.84
209.68.4.185
145.100.191.24
108.170.86.114
201.18.37.26
194.206.227.78
195.42.102.25
5.149.214.15
201.151.156.254
83.140.154.254 
14.0.70.161
199.19.249.196
219.87.157.2
212.118.244.162
132.68.13.33
67.210.109.185
95.211.224.38
188.136.172.129
14.0.70.138
211.144.72.154 
24.212.204.53
24.155.88.186
210.157.20.86
85.47.52.202 
65.213.70.116 
2.50.44.226
61.174.9.250 
195.54.62.22
189.62.114.139
111.223.228.99
108.40.88.122
186.92.130.189
91.146.35.50
94.242.233.80
94.41.170.29
94.242.233.47
213.171.204.130
213.108.248.110
65.36.241.79
188.16.4.170
175.107.185.52
108.168.159.58
94.23.14.30
82.145.44.49
87.73.2.26
142.90.107.59
212.143.93.29
216.162.21.129
178.137.234.238
178.219.249.252
79.133.136.204
125.253.118.88

Все папки и файлы на root, исключение - куда грузим картинки в JCE, определяем. И все долбо-бы на куй отправлены. Не удаляйте мой пост, пожалуйста..... :)
« Последнее редактирование: 07.05.2013, 20:21:21 от SolopoV »
Записан
*

Aleks_k

  • Осваиваюсь на форуме
  • 27
  • 0 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #16 : 10.05.2013, 16:58:33 »
В индекс корня:
Код
if (isset($_REQUEST['nn_qp'])) 
{
header("Location: http://natribu.org/"); 

exit;
}
проясните вышеуказанный скрипт не работает
Записан
*

SolopoV

  • Давно я тут
  • 576
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #17 : 10.05.2013, 18:02:30 »
Цитата: Aleks_k от 10.05.2013, 16:58:33
В индекс корня:
Код
if (isset($_REQUEST['nn_qp'])) 
{
header("Location: http://natribu.org/"); 

exit;
}
проясните вышеуказанный скрипт не работает

Любой запрос, содержащий
Код
nn_qp
должен отправляться в официальное представительство  http://natribu.org/

То есть начало index.php для Joomla 1.5 выглядит примерно так:

Код
<?php
if (isset($_REQUEST['nn_qp'])) 
{
header("Location: http://natribu.org/"); 

exit;
}
/**
* @version		$Id: index.php 14401 2010-01-26 14:10:00Z louis $
* @package		Joomla
* @copyright	Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
* @license		GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/

// Set flag that this is a parent file
define( '_JEXEC', 1 );

define('JPATH_BASE', dirname(__FILE__) );

Результат проверен Advanced REST client для Хрома.
« Последнее редактирование: 10.05.2013, 18:14:45 от SolopoV »
Записан
*

Aleks_k

  • Осваиваюсь на форуме
  • 27
  • 0 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #18 : 10.05.2013, 18:26:52 »
я повторил такой запрос от себя - это напоминание от производителя об обновлении компонента
[16:53:47.834] Объект Components устарел. Скоро он будет удалён.
собственно вот и производитель http://www.nonumber.nl/
хотя может и ошибаюсь j.php у меня не создается

проверил - работает жестко :o
« Последнее редактирование: 10.05.2013, 18:35:20 от Aleks_k »
Записан
*

SolopoV

  • Давно я тут
  • 576
  • 16 / 0
  • зеленею...
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #19 : 10.05.2013, 18:41:47 »
Цитата: Aleks_k от 10.05.2013, 18:26:52
я повторил такой запрос от себя - это напоминание от производителя об обновлении компонента
[16:53:47.834] Объект Components устарел. Скоро он будет удалён.
собственно вот и производитель http://www.nonumber.nl/
хотя может и ошибаюсь j.php у меня не создается

проверил - работает жестко :o

POST запрос делали?
Записан
*

Aleks_k

  • Осваиваюсь на форуме
  • 27
  • 0 / 0
Re: Взлом (залили шелл) и наблюдения в логах
« Ответ #20 : 10.05.2013, 19:27:33 »
да
 и что это было

[19:17:00.375] GET [HTTP/1.1 200 OK 110мс]
[19:17:00.376] GET [HTTP/1.1 200 OK 219мс]
[19:17:00.376] GET http://counter.yadro.ru/hit?t44.1;r;s1680*1050*24;uhttp%3A//natribu.org/;0.4636192368005707 [HTTP/1.1 200 OK 79мс]
[19:17:00.389] GET http://lleo.homeip.net:8081/cgi-bin/na?lang=ru [HTTP/1.1 404 Not Found 187мс]
--
[19:18:00.079] GET http://natribu.org/poshli.php?lang=ru&ask=0&old=0 [HTTP/1.1 200 OK 94мс]
--
[19:18:10.212] GET http://natribu.org/na/poshli.php?lang=ru&ask=1&old=54963931 [HTTP/1.1 302 Found 110мс]
[19:18:10.348] GET http://natribu.org/ [HTTP/1.1 200 OK 219мс]
[19:18:10.514] SyntaxError: syntax error @ http://natribu.org/na/poshli.php?lang=ru&ask=1&old=54963931:1

поменял http://natribu.org на адрес дяди Била
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

 Ответов: 1
Просмотров: 3455 		Последний ответ 25.05.2023, 08:49:57
от Театрал
Похоже на взлом J! 3.5

Автор memo

 Ответов: 7
Просмотров: 3417 		Последний ответ 23.09.2022, 10:56:06
от marksetter
Залили картинку в медиа-менеджер

Автор sword852d

 Ответов: 6
Просмотров: 1073 		Последний ответ 12.04.2018, 07:34:54
от sword852d
Генерируются материалы (взлом?)

Автор vanchou

 Ответов: 3
Просмотров: 1258 		Последний ответ 05.04.2018, 17:33:37
от wishlight
Взлом сайта через шаблон

Автор Mr-fan

 Ответов: 11
Просмотров: 3280 		Последний ответ 13.12.2017, 16:06:49
от SeBun