Beiträge von flotte

    Ach OK, also Frontend. Das wusste ich nicht.


    Aber unabhängig davon würde ich zu deren Absicherung keine zusätzliche Software installieren. Jede Software stellt nur ein weiteres Angriffsziel dar und damit zusätzliche Risiken. Sichere Accounts immer mit komplexen Passwörter, ggf. einer Zwei Faktor-Authentifizierung und Botsperren wie Captchas ab. Halte das System laufend aktuell und prüfe regelmäßig die Logfile-Auswertung - falls vorhanden.

    Bruteforceschutz/Firewalls und ähnliches sollte immer VOR einem System geschaltet werden. Je nach Provider stehen Dir ggf. Application-Firewall Regeln zur Verfügung, womit man das recht gut einrichten kann.

    Statt einer internen Joomla-Funktion schalte besser ein .htaccess-Passwortschutz für das administrator-Verzeichnis. Natürlich mit einem komplexen Passwort.

    Zusätzliche Plugins braucht man nicht, erst recht nicht wenn dann auch noch PHP-Scripte und Datenbankabfragen bei jedem Loginversuch erzeugt werden. Das macht unnötige Last und ist keineswegs sicherer.

    Seit einiger Zeit fallen mir immer wieder Joomla-Webs auf, bei denen das Verzeichnis t3-assets/css massenhaft css-Dateien enthält -teils mehrere zehntausende- und stetig werden es mehr.


    Was ist die Ursache? Sind es bestimmte Templates oder Plugins? Kurze Recherche findet "T3 Framework".


    Wie kann man das abstellen?

    ja bei der Neuinstallation würde ich grundsätzlich vorher immer alle JD-Tabellen entfernen. Erst recht, wenn bekannt ist, das sich die Datenbankstruktur verändert hat. Problem ist nur, dann sind alle Einstellungen auch weg.... Die Download-Dateien liegen noch auf dem Server, aber alles andere ist futsch.


    Bin gespannt ob es hier eine Lösung gibt.

    Wir haben selbst einen Downloadbereich in Betrieb, der geupdated werden soll und wir wissen von Kunden mit solchen Problemen.

    Ich muss diesen Thread noch mal rauskramen.

    Es geht nun um das Update JDownloads 3.2.69 --> 3.9.7.2

    Server stellt PHP 7.4 und mariaDB 10.3 zur Verfügung und der Dpwnloadbereich nutzt keinerlei benutzerdefinirte Datenfelder.


    Ein Update wird angeboten, kann aber nicht aufgerufen werden. Der unten gezeigte Link reagiert nicht - zeigt keine Reaktion.

    Danke für die Infos Volkmar und Viktor, speziell auch für den Hinweis das ECC+ hier eine spezielle Option anbietet. Sorry Viktor, hätte ich eigentlich wissen müssen, da ich Dein Produkt ja schon seit langer aktiv empfehle. Muss mir das noch mal ansehen, damit ich betroffene Kunde hier besser unterstützen kann. Werde auch unsere FAQ anpassen.

    Bin in den letzten Monaten kaum noch dazu gekommen, mich intensiver mit internen Funktionen von Joomla und diversen Erweiterungen zu beschäftigen, weil das Business einfach zu viel Zeit verschlingt. Auch J4 habe ich mir ehrlicherweise nur ganz zu Beginn bei den ersten Veröffentlichungen mal angesehen. Muss wohl ein wenig mehr mit Joomla machen und mich auch wieder stärker in die Community einbringen - aber der Tag hat nur 24 h.

    Ich habe mir das gerade noch mal angesehen. Man kann das kleine Email-Icon rechts oben bei einem Beitrag durch Deaktivieren der entsprechenden Option beim Beitrag bzw. auch global deaktivieren. Dann wird es nicht mehr angezeigt.

    ABER: Die Funktion ist dennoch aufrufbar. Also derselbe Mist wie bei dem Spam-Programm über eigentlich nicht sichtbare Kontaktformulare :-(

    Ein Captcha kann man einbinden, aber leider sind viele Captchas schnell hackbar und auch das Google ReCaptcha ist schon aus Datenschutzgründen keine wirklich gute Lösung. Warum (zum Teufel) kann man solche Funktionen nicht vollständig abschaltbar machen? Spamming ist heutzutage leider ein riesen Ärgernis. Wir haben als Provider fast täglich mit Blacklistings genau wegen solcher Funktionen zu tun. Das nervt aber so was von...


    Tom: Nach einem Plugin habe ich auch Ausschau gehalten, aber bin nicht fündig geworden. Falls das darüber geht, wäre ich dankbar für eine Info mit Angabe des konkreten Plugins.

    Seit geraumer Zeit beobachten wir ein neues Spammer-Szenario, welches die Funktion "Link per Email an einen Freund senden" benutzt.

    Typische URL ist exaple.com/component/mailto/?tmpl=component&template=xxx&link=xxx


    Bei den Standard-Kontaktformularen gibt es ja eine Spam-Schwachstelle wenn "Kopie der Email erhalten" aktiv ist und die Formulare sind auch aufrufbar, wenn sie gar nicht verlinkt sind. Wie man das löst ist mir klar,

    Bin aktuell gerade nicht auf dem Laufenden bezüglich dieser Funktion mir dem oben genannten Szenario. Wie kann man diese Schwachstelle global so abschalten, das sie nicht mehr funktioniert?

    Sie wird automatisch gesichert und beim Installieren beim Hoster wird eine Datenbank automatisch erstellt.

    Ich denke nicht das der Kickstarter von Akeeba eine Datenbank beim Hoster anlegen kann.
    Überlicherweise macht man das immer über das Control-Panel beim Hoster - ansonsten könnte je ein PHP-Script einfach eine Datenbank anlegen. Kann natürlich sein das es solche Hoster gibt... das will ich nicht ausschließen, aber sicher ist das nicht der Standard.

    Entwickler nutzen allzu gerne immer nur ganz aktuelle Serversoftware und verkennen die Realitäten, das dies auf den Hostingservern längst nicht überall der Fall ist. Dort kommen oft LTS-Versionen zum Einsatz oder Versionen die noch lange seitens der Distributionen unterstützt und gepacht werden. Ich weiss nicht welches "special feature" bei JD nun ausgerechnet diese hohe DB-Version erforderlich macht oder ob man das nicht auch kompatibel hätte programmieren können... Dann verliert der Hersteller eben massenhaft Anwender und schafft sich entsprechend viele Supportanfragen.... Tja.

    Ja mittlerweile scheint ein Updater von 3.2.69 auf 3.9.5 zu funktionieren. Allerdings wird mindestens MariaDB 10.3 benötigt, eine V10.1.x (z.B. unter Debian Stretch) scheitert - was unverständlich ist.... Ein so relativ simples Tool wie ein Download-Manager sollte keine höheren Ansprüche an die Datenbankversion haben, als der Joomla-Core selbst... Was um Himmles willen ist so kompliziert an abwärtskompatibler Programmierung? Massenhaft JDownloads-Anwender werden also deswegen Probleme bekommen.

    Ja das ist ein neuer Hinweis.


    Beim Updateversuch kommt nun auch ein neuer Hinweis:

    Fehler

    Zitat

    Sie haben versucht Ihre jDownloads Installation auf die Version 3.9.1 zu aktualisieren. Vorausetzung hierfür ist eine installierte Version 3.2.70. Sie haben aber noch die Version 3.2.69 installiert. Aktualisieren Sie daher zuerst auf die angegebene Version 3.2.70.

    Fehler beim Aktualisieren von Komponenten.


    Allerdings gibt es momentan 3.2.70 gar nicht....

    https://www.jdownloads.net/doc…rom-jdownloads-3-2-to-3-9


    Dies ist offenbar das Problem:

    Zitat

    Für eine noch bessere Integration mit Joomla! Es wurden einige Änderungen am Namen von Datenbankelementen vorgenommen. In der Dateitabelle der Dateien wurde beispielsweise der Name des ID-Felds von file_id in just id geändert, file_title wurde zu title und so weiter.

    im JD Forum steht dazu dies:

    Zitat

    there is nothing for the user to do - jD does all that is necessary

    Tja, nur leider stimmt das offenbar nicht.

    In mehreren Installationen habe ich dieselben Fehler gesehen. JD ist dann nicht mehr aufrufbar, weil Datenbankfehler angemeckert werden. Ein Blick in die Datenbank zeigt dann auch das die Namen nicht geändert wurden.


    Werde mich wohl direkt an JD wenden.

    Wir nutzen auf allen PCs eine Kombination von Eset-Produkten und Malwarebytes-Premium. Mal spricht das eine Tool an, mal das andere... Performanceverluste sind nicht bekannt. Und bei Emails werden grundsätzlich alle Office-Anhänge rausgefiltert. Das ist allerdings eine Option die man beim Hosting einstellt.

    Bislang damit gut gefahren.... toi toi toi