４月のiLogScannerの結果報告です。

今回の攻撃もディレクトリトラバーサルが主だったようですが、件数は激減しています。少し増えているのがSQLインジェクションとOSコマンドインジェクションです。その他は何でしょうか・・・気になるところです。

ログを眺める
攻撃に使われたURL中に含まれているエクステンション名

• extcalendar - 使ってない
• multithumb - 使ってない
• virturemart - 使ってない
• ongumatimesheet20 - 聞いた事も見た事もない
• docman
• fireboard
• cmimarketplace - 聞いた事も見た事もない
• alphacontent
• /modules/Forums/admin/ - 何これ？

毎度になってきたiLogScannerの結果報告です。

相変わらずしつこく来ていますね。

Joomla!1.6内にXML-RPC のライブラリ自体は、残っているがやはりxmlrpcのプラグインが削除されたままでいます。

CHANGELOGに

- Removed XMLRPC application

- XMLRPC plugins/config/installsql removed

と書かれたままです。

別な形で加わるということなのか、無くなるのか・・・。でも、ライブラリ自体は残っているので最終的に実装されるのかどうか、まだ詳しく見ていません。

いつ頃リリースされるのかまだ、見えてこないですが、TODOが表示されているところを見るとまだ時間はかかりそうです。

新しいサイトをJoomla!1.6ベースでとも思ったのですが、Fixされていないところもあり、二度手間を考えると早計な気がして手を出す事もできず、とりあえず1.0.xよりはましだろうと1.5化を少しずつ進めています。いざ、進めてみるとあれも要る、これも要ると、足りない物ばかりです。

Joomla!.1.0.xJP版については、magic_quotes_gpcはOn設定がデフォルトになっています。

標準のhtaccessにJP版として書き足されている行の中にその設定はあります。magic_quotes_gpc Onによる問題は、検索すればたくさんヒットしますので一度一通り読まれても良いと思います。

また、Joomla.orgでは以下のように説明されています。

Adjust magic_quotes_gpc

Adjust the magic_quotes_gpc directive as needed for your site. The recommended setting for Joomla! 1.0.x is ON to protect against poorly-written third-party extensions. The safest method is to turn magic_quotes_gpc off and avoid all poorly-written extensions, period.

最後の行には、以下のように書かれていると思います。

「最も安全な方法は、magic_quotes_gpcをオフにしてすべての不十分なエクステンションを避けることです。」

でも、こんなの普通わからないですよね～。

Joomla!1.5ではこの設定を無視するようです。なんら指定は、されていません。なのでONになっている場合は、明示的にOFFにしておいた方が良いかもしれません。PHPのマニュアルでは、以下のように書かれています。

警告

この機能は 非推奨 であり、PHP 6.0.0 で 削除 されます。この機能を使用しないことを強く推奨します。

magic_quotes_gpcの設定がONかOFFかは、以下の用にJoomla!のindex.phpにでも書けばわかります。

echo get_magic_quotes_gpc();

と、書いて1と出ればONです。もし、そうなら以下

php.iniなら

magic_quotes_gpc = Off

htaccessなら

php_flag magic_quotes_gpc Off

Joomler!.netの場合ほとんどが（ほとんどと言っても見ての通りFireboardやDocmanなどは使っています）、私の作成したエクステンションなので問題があれば、私が原因です。そう、私がサードパーティーなので、大丈夫！？ ってことでmagic_quotes_gpcをOffにしました。管理画面には以下のように警告がでます。

ついでにこれも逆にしちゃえ。

	if ( get_magic_quotes_gpc() ) {
		$wrongSettingsTexts[] = 'PHP magic_quotes_gpc 設定が `ON` になっています `OFF`へ変更して下さい。';
	}

と、変更してしまう。

でも、これは使っているエクステンションによっては駄目な場合があるかもしれない。

これって重要でない？

Joomla!って本当に便利ですね。

先日カスタムテンプレートを公開しましたが、docmanではカテゴリを作成していたのですが、エクステンションメニューにテンプレートのカテゴリを作成していなかったのでアイコンも作成した上で作成し、Blog > Templatesカテゴリに置いていたカスタムテンプレート関連の２記事も新しく作成したカテゴリに移動させました。

Joomla!って移動ボタンで、実に簡単に移動できてしまうので整理も簡単ですね。

それにしても、現在のテンプレートに変更してから新しい記事がわかりにくくなったと聞くのです。確かに、Blogの新着はページの最下部になり、ExtensionsのLatest Newsだけを上部右サイドに配置しているので下まで見ないとサイトの最新をすべて把握できないですね。さらにトップページの内容がほとんど変わらないようになっちゃっているし。まあ、これは一番面積を占めているjb_contentモジュールがまだ、途中で中途半端な表示しかできていないのが原因ですけどね。

もう少し様子を見て考えよう。