.
27 декабря 2016

Разработка сайтов — php framework YII или CMS Битрикс?

Волею судеб достался мне для поисковой оптимизации и дальнейшей раскрутки сайт дверной-эксперт.рф — производственная компания, занимаются изготовлением и продажей Стальных дверей, Противопожарных дверей, Раздвижных решеток. Производство в Новосибирске, продажа ещё и по ближним регионам в том числе.

Собственно, когда речь шла о оптимизации, доступов к админке мне не предоставляли, и о движке сайта я ничего не знал, но, глянув код, уже сильно подозревал, что это самописный на yii — так и вышло!
Поковырявшись в админке (её можно сказать и нет), бесполезно потыкавшись с целью повлиять на нужные мне метатеги главной страницы сайта и убедившись, что с админки мне ничего не светит — пришлось расчехлять PHPStorm и трясти стариной, штудируя просторы интернета инфой о базовых понятиях yii (с этим фреймворком не доводилось работать) :) — уж больно сильно люди привыкают к хорошему (имею ввиду Битрикс), где всё необходимые корректировки делаются в удобном интерфейсе администратора.

Побывав в шкуре контент-менеджера и оптимизатора, подумал, что ведь ещё и в разработке использование фреймворка гораздо более медленно, чем изготовление сайта на CMS, не говоря уже о поддержке сайта и работы с контентом людям не ведающим о программировании, с учетом того, что лицензия Битрик Старт стоит 5 т.р. (а для этого сайта такой лицензии будет вполне достаточно) думаю выбор очевиден.

P.S.
Ведь до чего дошли технологии?! Уже и интриги в туризме почти не оставили — чтобы не «промахнуться» туры изучают с помощью веб камер.

рубрики: Размышления | Комментарии (1)

21 декабря 2016

Скрипт проверки изменений файлов на сервере

Говорят «лучшее — враг хорошего», и в этом есть смысл.

Под впечатлениями от скрипта в предыдущей статье, решил поставить «следилку» на сайты нескольким своим клиентам, и чуток разочаровался — скрипт у одного не запустился т.к. версия PHP была мягко говоря устаревшей, на мои призывы обновиться сказал «работает — не трогай» (и в этом тоже есть своя правда), у другого довольно сильно подвесил систему т.к. файловая структура составляла сотни! тысяч файлов, а режима «быстрой» проверки (только по атрибутам файла — размер, даты, режим доступа, владельцы) отсутствовал.

Собственно, пришлось сделать простенький скриптик, практически моментально сравнивающий изменения из файлов, содержащих информацию о файловой структуре сайта.
Снимать дампы можно консольно (мне так удобнее), желающие могут дописать скрипт.
Скрипт «голый» — без интерфейса, отправки на мыло изменений и других наворотов — как есть.
Пользоваться так:
ls -alR > file1.txt
ls -alR > file2.txt
fdiff.php file1.txt file2.txt > diff.txt
скрипт кидает результат в поток, в моём случае перенаправленный в diff.txt

Кого заинтересовало — качаем.

рубрики: security, Администрирование, взлом и безопасность, Полезности, Программирование | Комментарии (0)

20 декабря 2016

Скрипт проверки изменений на сайте — Анти Шелл

Просто скопирую сюда письмо, которое отправил создателям данного очень полезного скрипта!

Приветствую коллеги!

Недавно наткнулся на ваше творение Скрипт проверки изменений на сайте — Анти Шелл — сам уже подобный скрипт писал под свои нужны много лет назад — а тут всё красиво — ООП, гит + интерфейс + основной функционал по созданию снимка и отправка на мыло изменений = молодцы!
Хотел своё творение облагородить, но всё руки не доходили ...

Отписал на блоге позитив :)

Единственно — думаю есть смысл добавить FAST режим (без проверки по содержимому файла — только по атрибутам (размер + дата модификации).

А то на больших проектах не работает по памяти (пока явно не пропишешь поболе) и работает долго, нагружая всю систему.

Думаю врят ли будут внедрять даже мини-шелл контролируя изменение размера в файле (хотя конечно есть такая вероятность — для этого можно, например, всю неделю FAST режимом, в выходной один проход полный).


С наилучшими пожеланиями,
Алексей
gtalex.ru

GitHub

Скачать v.1.2.2

На всякий случай Зеркало версии 1.2.2

рубрики: security | Комментарии (0)

15 декабря 2016

Как быстро настроить гитару?

Пост вообще не в тему блога, но не могу не запостить — наверное один из лучших лайфхаков в моей жизни! (кто хоть раз настраивал гитару поймут)
Пост будет супер короткий, но кто не знал — супер полезный! Меня до сих пор прёт от ощущений и полезности найденной информации :)
Собственно, для настройки гитары — устанавливаем в смарте приложение для настройки гитары и через пару минут гитара настроена!
Дёргаем струну, смотрим что нужно подтянуть или ослабить — всё!


screen696x696

рубрики: Лайфхак, Полезности | Комментарии (1)

12 декабря 2016

Новый фарма шаблон

По моей просьбе партнерская сеть по продаже дженериков Доктор Дик выкатила новый адаптивный шаблон, для мобильного трафика — у конкурентов много сайтов с адаптивной вёрсткой, а вот Доктор Дик как то не особо тут жаловал.
В админке его пока не предоставили — т.к. сделан не под формат всех старых шаблонов, уже в кодировке utf-8, да и вообще шаблон был предоставлен довольно в сыром виде — многое допилил уже под свои доработки. Над названием думаю ... пока пусть будет Доктор Секс (ещё над ним работаю — например ещё не сделал Новости, Статьи, Категории, Отзывы с пагинацией, вопрос-ответ и т.п. но основное закончил — можно потихоньку двигать).
Собственно, заодно и проверю влияние уникальности шаблона на поисковую выдачу — хоть и поисковики утверждают, что движек никак не виляет и главное контент — есть сомнения, т.к. сделанный вручную шаблон у меня вылез получше, чем стандартные, коих в выдаче гора.
Ну и на правах хозяина блога, ссылочка для раскачки аптеки — Где заказать дженерик Левитра в Новосибирске?

P.S.
Мелкие картинки на детальных товара косячат в разных браузерах :( нужно фиксить
P.P.S.
Если вдруг косяк на шаблоне увидите — большая просьба сообщить.

рубрики: Онлайн бизнес, партнерки, Партнерские програмы | Комментарии (0)

28 ноября 2016

Как заработать на сайте? Основные способы монетизации

Имея собственный сайт, многие озадачиваются вопросом о дополнительной монетизации ресурса.
Таких способов несколько:
1. Размещение рекламных блоков Яндекс Диркет и Гугл Адсенс. Хорошо при большой посещаемости.
2. Размещение обзорных статей. Основные сервисы — miralinks.ru, gogetlinks.net и getgoodlinks.ru. Пример подобной статьи такси в Москве. Для продвигаемых сайтов идеальный способ — статья с новой страницы, с уникальным текстом и вечной ссылкой! Чем лучше посещаемость и пузомерки (ТИЦ, PR, и другие) — тем лучше.
3. Размещение ссылок — sape, seopult и другие. Крайне нежелательный способ т.к. поисковики этого не любят! Штрафуются как сайты доноры, таки и продвигаемые сайты.
4. Размещение тизерных рекламных блоков — ИМХО так же крайне нежелательный способ и неуважительный по отношению к посетителям ресурса.
5. Если Вы не пользуетесь Яндекс.XML — можете продать свой излишек лимитов.

рубрики: Онлайн бизнес, Полезности | Комментарии (2)

17 ноября 2016

Как найти / спрятать шелл и другой вредоносный код

В очередной раз коснусь темы безопасности сайтов.
Не буду томить — сразу пару мыслей озвучу, в конце поста подкреплю интересными с моей точки зрения ссылочками.
Итак, мысль первая — чтобы уметь находить шеллы, бэкдоры и прочую хрень, ИМХО обязательно нужно попробовать их попрятать и наоборот — чтобы уметь прятать, нужен опыт по их нахождению!
В идеале — устроить соревнование с единомышленником :)
Без инструмента отслеживающего изменения файлов! — т.к. с ним всё очень просто. предположим, что момент инъекции не отслежен, у хакера (товарища) есть доступ к шеллу и снимка файловой системы до инъекции тоже нет. Задача «игры» — как можно дольше удержаться в файловой системе соперника, как можно быстрее удалить инъекции со своего сайта.
Так же при работе с чужим сайтом, помним, что главное — не спалиться. Если каким то образом помимо шелла вычисляем реальный IP атакующего, или какие то данные (имя домена, хостинг оформленные на него, и т.д. и т.п.) — полная победа :) — например чтоб не светить IP можно использовать браузер для анонимного серфинга TOR Browser (в реальности такие данные могут помочь спрятать хакера за решетку).
Вторая мысль уже больше не мысль, а совет для обнаружения уже засевшего бэкдора в момент его работы — обязательно включайте логирование тела POST запроса, ну и логи COOKIE так же не помешают.
В nginx за это отвечают переменные $request_body и $http_cookie, так же у меня не логировался непосредственно хост — добаил $http_host.

Ну и анализ, анализ и ещё раз анализ логов — взять с поличным проще чем отловить иньъекцию в файловой системе (это вы поймёте ознакомившись с прикреплённым материалом — способов зашифровать инъекцию великое множество — и далеко не все ищутся антивирусами и спец.софтом) — именно поэтому много бэкдоров после успешной инъекции могут выжидать своего часа дни, недели, месяца.

Ну и как обещал, кучка интересных ссылок (там на каждом ресурсе можно ещё пошарить — инфы полезной масса).
Для начала, стоит почитать статьи от авторов известного скрипта для поиска заразы ai-bolit.php
Далее уже пошли ссылки потяжелее :)

https://www.nulled.cc/threads/252175/

https://forum.antichat.ru/threads/298338/

https://habrahabr.ru/post/280516/

рубрики: взлом и безопасность | Комментарии (0)

Яндекс.Метрика