以下は、mod_jcontentplusでの縦表示時の説明です。
今回、それを修正しましたが、以前と異なる表現方法にしましたので、その変更点をご説明します。簡単に、スタイルで階層化を表現できます。
先月分を忘れていました。iLogScanner
の結果報告です。今回の攻撃は主にディレクトリトラバーサルのようでした。先月(2月)から飛び抜けて増えています。あまり多いのですぐにログを見てみました。
ほとんどmultithumbプラグインに対しての攻撃でした。何か脆弱性でもあったのだろうか?でも、私はmultithumbは使ってないっての。あ、ポップアップ使ってるからそう見えるのだろうか・・・。自作のプラグインだっての。
ログ内をmultithumbで検索してヒットした数252である。使っている方は注意した方が良いかもしれない。前回はこれほど目立たなかった。
ちなみにうちで使っているcom_jbはというと169だ。multithumbとかぶっている物がほとんど。優秀!?
攻撃の一例
multithumb.php?mosConfig_absolute_path=../../../../../../../../../
などと続く。そんなに上の階層にいったら空まで行くだろ。
ついでにホームディレクトリが、デフォルトでは一つ上の階層になっているのを本来のホームに変更してみました。
Root/administrator/components/com_joomlaxplorer/config/conf.php
$dir_above = substr( $mosConfig_absolute_path, 0, strrpos( $mosConfig_absolute_path, $GLOBALS["separator"] ));
if( !@is_readable($dir_above)) {
$GLOBALS["home_dir"] = $mosConfig_absolute_path;
// the url corresponding with the home directory: (no trailing '/')
$GLOBALS["home_url"] = $mosConfig_live_site;
}
else {
$GLOBALS["home_dir"] = $dir_above;
// the url corresponding with the home directory: (no trailing '/')
$GLOBALS["home_url"] = substr( $mosConfig_live_site, 0, strrpos($mosConfig_live_site, '/'));
}
を
// $dir_above = substr( $mosConfig_absolute_path, 0, strrpos( $mosConfig_absolute_path, $GLOBALS["separator"] ));
// if( !@is_readable($dir_above)) {
$GLOBALS["home_dir"] = $mosConfig_absolute_path;
// the url corresponding with the home directory: (no trailing '/')
$GLOBALS["home_url"] = $mosConfig_live_site;
// }
// else {
// $GLOBALS["home_dir"] = $dir_above;
// // the url corresponding with the home directory: (no trailing '/')
// $GLOBALS["home_url"] = substr( $mosConfig_live_site, 0, strrpos($mosConfig_live_site, '/'));
// }
のようにコメントアウトしただけです。
このコード上部に書かれているように1.3.0からサイトの一つ上の階層を表示するように変更されたようです。以前から気になっていたのですが、バグかと思っていました。
DebugBarの5.0 beta 1がリリースされていたので早速入れてみました。IEでページ詳細を見るときは便利です。普段Firefoxのことばかり書いている私ですが、実はFirefoxでDOMをみるとWeb Developerツールバーでは、階層が深いと画面から見えないところに行ってしまってわからないのでその時はIEのDeveloperを使っています。たまに起動するIEは遅いし使いにくいのですがそれだけは、便利なんです。DebugBarは、さらに便利かもしれないです。元々有料なのでこのBeta版いつまでつかえるのかなと思いながら使ってみようと思っています。DebugBarのサイトには他にフリーで便利なCompanion.JSというツール
があります。これは、とても便利でIEでスクリプトのエラーを表示させると鬱陶しいのですが、これだとスマートに表示してくれさらに該当部分もすぐに表示できます。DebugBar 5.0beta1の画面をキャプチャしてみました。
今回Flashを使ってみて思ったのですが、Joomla!.orgを見ても意外にIE対策してFlashを簡単に埋め込むエクステンションてないのですね。今度作ろう。Adobeのサイト
を見てみるとかなり面倒そうですが。
Joomla!をあれだこれだとさわっているともちろんどんどんデータベースが書き換わっちゃいます。消してしまってから・・・「あっ!」ってことが無いようにバックアップは必ず必要ですよね。この「Jombackup System plugin」毎日データベースをバックアップして指定したメールアドレス宛に送付してくれます。バックアップを忘れていてもJombackupがバックアップした時点までは戻れるわけです。
Jombackup daily mysql backup bot Joomla.orgのエクステンションページ
パラメータの設定
ほとんどデフォルトのままで良いかと・・。送信先のメールアドレスを忘れず設定して、最後のバックアップパスの設定はrootより上の階層においた方が良いでしょうね。(デフォルトは/mediaです。)
データベースのみでファイルはバックアップしてくれません。