Extension / outil recommandé pour vérifier les modifications du fichier principal?

16

Lors de la mise à jour des sites Joomla vers la dernière version, j'ai toujours une panique mineure au cas où le site que je suis en train de mettre à niveau, construit dans le passé par un développeur voyou (c'est-à-dire moi, il y a 6 ans), arrive à des changements de fonctionnalités («hacks») en fichiers Joomla principaux.

Dans un monde idéal, je pourrais éviter ce potentiel coronaire en ayant une extension ou un outil qui:

  • Connaît tous les fichiers Joomla principaux inclus dans chaque version de Joomla
  • Compare chaque fichier de mon installation Joomla aux fichiers source principaux de Joomla sur Github ou ailleurs (même quelque chose comme une comparaison de hachage MD5)
  • S'ils diffèrent, lancez un outil de comparaison pour trouver les différences et les signaler pour examen
  • S'ils sont identiques, des trucs formidables, aucune action requise
  • Générez un rapport à la fin détaillant les résultats du processus ci-dessus

J'ai trouvé cette extension qui fait la plupart des choses ci-dessus, mais elle n'a pas été mise à jour depuis J2.5.7 ou pas du tout pour J3.X - donc c'est fini.

Dans mon entreprise, nous utilisons MyJoomla pour effectuer des `` audits '' complets du site Joomla (une longue liste de contrôle des meilleures pratiques et des correctifs pour les sites Joomla) de temps en temps, dont une partie est un `` Core Files Integrity Check ''. Cependant, ce service a un abonnement mensuel et tout ce que je veux vraiment vérifier, c'est si des fichiers ont été piratés avant d'effectuer une mise à niveau.

Quelqu'un connaît-il d'autres solutions? Mis à part «ne pas pirater les fichiers de base» - jusqu'à tout récemment, il n'existait parfois aucun autre moyen d'effectuer certaines tâches sans une charge de travail supplémentaire, souvent non rémunérée.

cms  update 
codinghands
source
1
Myjoomla.com fournit un excellent outil qui aidera toutes les modifications de base de Joomla.
github.com/btoplak/Joomla-Anti-Malware-Scan-Script--JAMSS- JAMS - qui scanne tous les fichiers et identifie les hacks possibles ainsi que les dates de modifications des fichiers
iamrobert

Réponses:

11

Je ne peux pas imaginer un meilleur outil que git . C'est un excellent outil pour suivre les modifications que vous apportez au code (si vous en faites), c'est le système utilisé par Joomla pour contribuer le code (ce qui est génial à faire), et c'est son but!

Le flux de travail est assez simple et devrait vous permettre d'être assez sans souci:

  1. Sauvegardez votre site Web Joomla (ce que vous faisiez avant de toute façon, non?)
  2. Configurez la copie de sauvegarde localement.
  3. Exécutez git initsur le dossier racine de la copie locale. Ensuite, exécutez git add --allet git commit. Cela prend un instantané du code tel qu'il est maintenant.
  4. Prenez le patch qui correspond à votre version actuelle de Joomla.
  5. Installez ce correctif sur votre copie locale.
  6. Exécutez git diffet vous verrez une liste de toutes les différences de fichiers entre ce que vous avez en cours d'exécution et les fichiers principaux.

Je reconnais que c'est une jolie réponse "de développement" et que tout le monde ne veut pas utiliser git dans la ligne de commande. Si vous utilisez une interface graphique Git (comme le client de Github), vous pouvez ignorer la dernière étape, car l'interface graphique vous montrera généralement la différence automatiquement.

En fin de compte, je recommande cette méthode car elle vous enseigne à la fois une compétence qui vous aidera si vous codez et contribuez à Joomla et elle conserve toutes les vérifications localement, vous n'avez donc pas à vous soucier de l'expédition de votre code vers un autre site Web ou service!

David Fritsch
source
J'aime cette méthode, mais la maintenance est généralement une tâche ingrate que j'essaie de rendre négligeable (c'est pourquoi nous payons pour MyJoomla). Je peux commencer à le faire, alors merci.
codinghands
1
Ouais. Cela devient beaucoup plus rapide si vous utilisez déjà git pour contrôler et suivre le développement du site, ce que je recommande vivement! Bien que cela n'aide pas à prendre en charge les anciens sites, l'utilisation de git deviendra facile, vous pouvez donc l'utiliser rapidement.
David Fritsch
Bien que Git soit populaire, ce n'est pas toujours le meilleur, donc je voudrais généraliser la réponse : choisissez un logiciel de contrôle de révision qui fonctionne pour vous.
miroxlav
J'essaie de modifier et / ou de cloner une extension qui fait partie d'un modèle tiers et qui remplace com_content. Tout d'abord, j'ai besoin de faire de l'ingénierie inverse, donc j'espère que cette solution m'aidera à trouver des fichiers modifiés et supplémentaires (même s'il peut y en avoir beaucoup - j'ai besoin d'un bon outil et d'une bonne méthodologie). J'espère que cette solution fonctionnera pour cela :-)
NivF007
5

Il s'agit d'une extension de la réponse de FFrewin. Akeeba produit également un outil gratuit appelé SiteDiff. Il vous permet de comparer 2 sites qui ont été sauvegardés avec Akeebabackup (il existe également une version gratuite de cela).

Pour que cela fonctionne, vous devez disposer de 2 sauvegardes. Une sauvegarde serait de votre site (disons que c'était la version 2.5.19). Pour l'autre sauvegarde, vous devez installer une nouvelle copie de Joomla 2.5.19, puis effectuer une sauvegarde de cette installation. Comparez ensuite les deux sauvegardes à l'aide de l'outil SiteDiff.

Un problème avec cette méthode est que vous aurez plus de fichiers dans votre sauvegarde de site que votre nouvelle installation. Les fichiers supplémentaires apparaîtront sous forme de différences, ce qui rendra peut-être difficile de discerner les changements de noyau du reste du «bruit».

TryHarder
source
3

http://audit-fs.co.za/ possède un outil gratuit appelé Audit_FS qui vous montre les fichiers Joomla modifiés et / ou les fichiers Joomla éventuellement corrompus.

En tant qu'outil de sécurité de base, Audit_FS est conçu pour effectuer des audits uniquement de vos fichiers Joomla! ®, ainsi que pour vérifier vos autorisations de fichier et de répertoire. Il ne vérifie pas les modifications ou le piratage dans vos enregistrements de base de données, ni les fichiers des extensions que vous avez peut-être installées. Le rapport d'audit ignorera également .htaccess, robots.xt, configuration.php, configuration.php-dist et copyright.php.

Richard
source
2

Je ne connais aucune extension autre que celle que vous avez mentionnée, qui est arrêtée quelque part dans J2.5.

Ma façon de gérer cela est d'utiliser des applications de bureau pour la comparaison de fichiers / dossiers et je compare le site en question avec sa version originale de joomla. J'utilise personnellement le DiffMerge sur mac.

Admin Tools pro est un autre utilitaire que je connais qui pourrait vous aider à garder une trace des fichiers piratés / modifiés sur vos sites. Il fournit l'outil de scanner php. Mais pratiquement celui-ci est destiné aux sites que vous avez développés et analysés après le lancement, et pour vous aider à découvrir tous les fichiers infectés après des tentatives de piratage.

FFrewin
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.