mmth
В правилах описано четко:
— Материалы, опубликованные исключительно с целью рекламы стороннего бренда или компании, а также самого автора или другого человека, запрещены на всей платформе кроме официальных корпоративных страниц и личных блогов.
Думаю, вам не стоит предлагать вашу коммерческую статью в комментариях, то что ваши действия не заметили до сих пор, означает лишь то, что на них ещё никто как на спам не пожаловался.
Удалось вам сделать свой вывод из ситуации?
Официальные представители таймвеб, тут в комментариях, подтвердили изменение файлов.
Не совсем понял про мой ТГ. Группы в телеграм не мои, я обычный участник. Добавляйтесь в https://t.me/projoomla опишите проблему, думаю в группе смогу помочь советом, или найдёте специалиста кто справится с задачей. Ник у меня в телеграм такой же как тут 😉
Здравствуйте, команда Timeweb.
Спасибо, что дали развернутый комментарий. С вами работаю те самые 5 с лишним лет и сайты на CMS Joomla, кофе периодически пью из вашей фирменной кружки. Опыт с хостингом положительный, исключая описанную в статье ситуацию.
—-У нас обновленная система борьбы с вредоносными файлами, чтобы избежать полной блокировки сайта клиента.
До апреля месяца 2022 года с Joomla описанных в статье ситуаций в течение 5 лет не происходило. Исходя из этого можно предположить, что в работе вашего антивируса в этот момент были какие-то обновления, которые и привели к такому результату. Надеюсь работа над ошибками проведена и мы и дальше сможет работать на благо сайтов.
—- При обработке файла антивирусом — он добавляет его в карантин, а если файл cms с уязвимостью, то заменяет его на обновлённый из официального репозитория cms.
Практика замены файлов мне кажется не приемлемой ни при каких обстоятельствах. Прислать уведомление, а устранение исключительно силами клиента самостоятельно.
—-В частных случаях при обновлении файлов на cms joomla возникает некорректная работа.
Как и писал в поддержке. У joomla есть своя специфика с обновлениями. Приходе к нам в группу телеграм https://t.me/joomlaru общую по джумла, https://t.me/projoomla а тут собрался костяк практикующих программистов. Коллективно можно решать вопросы. Пользователи Joomla открыты и заинтересованы в надежном хостинг провайдере.
—-Сразу отметим, что все проблемы локализованы, а наша поддержка всегда готова помочь вам.
Статьи бы не существовало, если бы не нарушилась коммуникация. В поддержке не твердили про "карантин", а был получен ответ - "файлы попавшие под подозрение антивируса были обновлены".
И даже в случает со словам карантин, был предложен вариант публичного освещения проблемы в положительном свете что вы справились. В таком же положительном ключе как и ваш комментарий
Клиенты коммерческие сайты, там нагрузки и большого трафика нет, но свою задачу информировать, получить лид они выполняют. Vds один/несколько на всех клиентов "в лоб" деньгами будет обходиться сильно дешевле. Но в таком случае нужно самому оказывать услуги хостинга, админить. Это, как вы понимаете, трудозатраты которые будут сильно дороже, чем держать каждого клиента на отдельном виртуальном хостинге.
Автоматически обнаруживать угрозы можно, ограничивать сайт с уведомлением клиенту тоже разумно. А вот что-то автоматом обновлять где есть зависимости плохая практика)
Василий, спасибо! Тезисы и критерии в статье звучат объективно.
Но очень сложно поверить в непредвзятость выводов статьи учитывая наличия в конце реферальных ссылок. А фразы "Доступные цены на домены (всего 179 рублей за домен в зоне .ru)" и "Кстати, сейчас при регистрации они дают месяц хостинга и SSL-сертификат бесплатно." заставляют задуматься, что это чисто коммерческая статья. А если посмотреть ваши комментарии https://vc.ru/u/74559-vasiliy-kolodin/comments то вопрос о коммерческой сути можно считать закрытым.
Вы правы, посмотрел litespeed сейчас нет в шареде таймвеба, на хабре их в комментариях уже за это спрашивали.
Alex, сразу после первого возникновения установил проблему, несколько файлов CMS Joomla изменили у нескольких отдельных клиентов таймвеба (учетных записей), указал на это поддержке, предложил до тех отдела донести инфу, что беда - нужно исправлять.
Через три неделе второй раз, также в воскресенье. Тоже самое, что и в первый раз произошло.
Сайты сдать и забыть не мой вариант. Мне их поддерживать приходится на протяжении жизни сайта. Поэтому все решения в рамках CMS Joomla которые применяю, стараюсь выбирать максимально надежные, чтобы работало всё долго и cчастливо😇
Ответил вам в другой ветке сообщений про хостинг/сервер. https://vc.ru/claim/417923-hosting-izmenim-fayly-bez-vashego-vedoma-sms-i-registracii?comment=4316526&from=copylink&type=quick
По поводу странно, не то слово, удивительно. Первый раз такое "чудо" на практике встречаю. Обещали, что проблема не повторится после первого раза. Она повторилась снова, для того чтобы понять исключительно редкая это проблема или стоит бить тревогу в чате по joomla на 850 человек создал опрос https://t.me/joomlaru/447142. Кто является клиентом таймвеб и были ли проблемы в этом месяце. Где ещё 11 программистов её подтвердили, а 14 нет. Грубо чуть меньше половины из проголосовавших её поймали.
Старался в статье донести: несколько файлов ядра CMS не были удалены, они были изменены (модифицированы).
В статье есть скриншот github desktop. После обнаружения этого и общения с поддержкой, изменённые файлы я сравнил с файлами актуальной версии CMS Joomla они оказались идентичные, по этому и написал в статье про "кривое" обновление. Лишь малая часть необходимых файлов была изменена для полноценного обновления. Эту информацию после первого возникновения проблемы я им и написал.
Все сайты на поддержке обновляю в разумные сроки, а те которые живут сами по себе стараюсь раз в год. Работаю с CMS Joomla давно, с версии 1.5х а сейчас уже 4.х. Ядро Joomla стабильное и достаточно безопасное.
По поводу антиспама взаимодействовал с таймвеб за это им спасибо, тут проблем не было. Уведомление на почту клиенту пришло о блокировке, в общении указали на проблему, проблему решил, написал в поддержку разблокировали.
Максим, речь в статье про обычный виртуальный хостинг у таймвеба. Его рекомендовал клиентам для сайтов на протяжении нескольких лет. В рамках хостинга есть понятие хост (vh100500.timeweb.ru) именно его я подразумевал под сервером.
По просьбе в техническую поддержку "перенесите на новый сервер" в случает потребностей (из личного версии пыха) или каких-то проблем (от соседей по хосту тормоза), хост меняют без проблем👍
Два раза с разницей в 3 недели. Судя про опросу в чате CMS Joomla не только у меня.
Затем и написал, чтобы прекратить практику "в тихую что-то изменять". Переезд и прочие средства реагирования остаются за скобками, т.к. не являются темой статьи. За годы первый раз такая дичь, чтобы *намеренно-ненамеренно* были файлы изменены.
Думал сарказм будет очевидный про "шикарный хостинг". В публичном поле когда пишут статьи в коммерческих целях и прикрепляют к статьям реферальные ссылки, чтобы заработать "чеканную монету" 😉
Это сделано намерено, чтобы в первую очередь обозначить проблему "файлы трогать нельзя" и попытаться предотвратить распространение, раз уговоры через поддержку не действуют, и проблема повторилась уже два раза и не только у моих клиентов.
Хостинг Timeweb
Главная проблема, ни один хостинг не имеет права трогать код и файлы, по этому и написал статью, не хочется в дивный новый мир *наступать*, где нет этого условия. И никакие благие намерения это не могут оправдывать.
А скрипт (антивирус) - это на самом деле хорошо. Нашли проблему: старая версия cms, вирус и т.д. Заблокировали сайт, написали клиенту.
А там уже клиент пускай сам устраняет уязвимости, потом пишет в поддержку, чтобы разблокировали.
К этому можно приспособится, чтобы быть объективным:
1. На апач есть вроде решение, в поддержку просишь перенести сайт клиента на новые сервера там конфиги свежие.
2. "Денюжки" же, у них конечно "маркетологам" отдельный привет, что везде где можно предлагают платные услуги. Но это реалии бизнеса, а не благотворительность. За случайно подключённые услуги типо "защитник сайтов" деньги без проблем возвращают.
Свой vds есть, используется как тестовая среда.
Шаред подходит как способ делегировать с себя часть полномочий и не переживать по мелочам, крутятся клиенты каждый на своём аккаунте рабочий вполне вариант.
Ну и был опыт с vds ihor когда все рухнуло из-за разборок собственников, и пришлось сидеть караулить доступ и вытаскивать от туда кучу сайтов.
понять удаление как и помещение в карантин можно в случае, если по об этом будет уведомление клиента, а вот замена файлов это был для меня за годы новый опыт.