Beiträge von tekknotrip

Zitat von Re:Later

Viel effizienter ist doch in der .htaccess oder vielleicht Server-Firewall oder ähnlich.

Ja, das Thema hatte ich tatsächlich schon einmal

Thema

Versuch einer SQL Injection, wie blocken?

Hallo liebes Forum,

immer wieder Sonntagabends versucht jemand eine Schwachstelle zu finden, doch die Systeme schlagen frühzeitig Alarm, sodass ich reagieren kann.

Die IP-Adresse ist zwischenzeitlich lokalisiert und über die .hatccess blockiert.

Der Angriff erfolgt über die URL:
(Quelltext, 1 Zeile)


Normalerweise werden SQL-Injections erkannt und blockiert. Diese nutzt aber nicht das übliche Schema, sondern schafft es tatsächlich, die MySQL unter beschuss zu nehmen (Max Connections erreicht).

Ein…

tekknotrip

18. September 2022

Zitat von Re:Later

#[\AllowDynamicProperties]

Danke, funktioniert!

WM-Loose

Danke, aber ich will nur die lästigen Script Kiddies blocken

option=com_b2jcontact&view=loader&type=uploader&owner=component&bid=1&qqfile=/../../../vuln.php

type=atom999999.1%20union%20select%20unhex(hex(version()))%20--%20and%201%3D1

Da habe ich teilweise bis zu 1.500 Versuche pro Minute. Lasse ich das offen, ist mir das einfach zu viel Last - Block und Ruhe iss.

Das Script von Marco ist halt deswegen so gut, da es sich auf ein Minimum beschränkt und ein Maximum an Effekt liefert.

bembelimen

Ja, mir ist das schon bewusst und das Script wurde schon mehrfach angepasst und ja, spätestens mit PHP9 muss ich mich dann einmal genauer umschauen.

Vielen lieben Dank an dieser Stelle an euch!

Hallo Forum,

ich habe ein "altes" Tool Marcos Interception, welches nicht mehr weiter entwickelt wird, im Einsatz.

Es macht, was es soll - es identifiziert Attacken, setzt die Ip auf eine Blacklist und informiert mich per E-Mail.

Das Plugin tut seinen Dienst ohne Fehlermeldungen bis PHP 8.1

Mit PHP 8.2 kommt Depcreation Warnung, die ab PHP 9.0 zu einem Fatal Error werden soll.

Da sich der Entwickler nicht mehr darum kümmert, eine Frage, wie ich das Problem angehen kann

Moniert wird bspw.

[18-Sep-2023 17:53:30 Europe/Berlin] PHP Deprecated:  Creation of dynamic property plgSystemMarcosinterceptor::$p_errorMsg is deprecated in /home/www/plugins/system/marcosinterceptor/marcosinterceptor.php on line 26

     26:   $this->p_errorMsg = $this->params->get('errormsg', 'Internal Server Error');

Der gesamte function Blog sieht so aus und quasi alles, was dort steht, löst depcreation aus:

    function onAfterInitialise(){

        $app = JFactory::getApplication();
        $this->p_dbprefix = $app->getCfg('dbprefix');
        $this->p_raiseError = $this->params->get('raiseerror', 1);
        $this->p_errorCode = intval($this->params->get('errorcode', 500));
        $this->p_errorMsg = $this->params->get('errormsg', 'Internal Server Error');
        $this->p_strictLFI = $this->params->get('strictlfi', 1);
        $this->p_levelLFI = intval($this->params->get('levellfi', 1));
        $this->p_frontEndOnly = $this->params->get('frontendonly', 1);
        $this->p_ignoredExts = $this->params->get('ignoredexts','');
        $this->p_sendNotification = $this->params->get('sendnotification',0);
        $this->p_nameSpaces = $this->params->get('namespaces','GET,POST');

        $this->p_ipBlock  = $this->params->get('ipblock', 0);
        $this->p_ipBlockTime  = intval($this->params->get('ipblocktime', 300));
        $this->p_ipBlockCount  = intval($this->params->get('ipblockcount', 3));
        $this->p_ipBlockCount = ($this->p_ipBlockCount < 1 ? 1 : $this->p_ipBlockCount);
        $this->p_debug = intval($this->params->get('debugplugin', 0));

        if($this->p_debug){
            JLog::addLogger(array('text_file' => 'marcosinterceptor.php'));
        }

Habt ihr einen Tipp - oder ein alternatives Plugin, was zeitgemäßer ist?

Danke im voraus

Mitcha

Hallo Leute, ich hänge ein aktuelles Problem an meinen ursprünglichen Post mit an, da dieser gut dazu passt.

Seit J 4.3.x habe ich ein Problem, dass bei YTP das Menü "flappt"

https://demo.yootheme.com/joomla/themes/design-escapes (öfters F5 drücken)

Das hat bei mir einen negativen CLS bei Desktop eingebracht. Mobil bleibt Konstant im grünen Bereich, weil dort das Hamburger-Menü nicht "flappt"

Bei YT kann man das reproduzieren, ist aber ratlos, woran es liegen mag. Ich habe einige Tests durchgeführt und festgestellt, dass

<link href="/media/vendor/joomla-custom-elements/css/joomla-alert.min.css?0.2.0" rel="stylesheet" />

zu Konflikten führt. Ich möchte das gerne testen und ich brauche den Style nicht. Daher die Frage an euch, wie kann ich das Laden des Styles verhindern?

Elwood - ja, Test

christine2 Danke für die Erklärung - Eigene URL, den Link eintragen, Update laufen lassen.

Test hat funktioniert und das gewünschte Ergebnis wurde erzielt

Schön, wenn es so einfach ist!

Blöde Frage - es wurde jetzt etwas geändert und ich möchte das gerne Testen.

Wenn ich das machen möchte, müsste ich im Backend der temporären Seite doch nur die Update Quelle auf "Testing" umstellen?

Oder?

Ok, ich werte das einmal als Bug und nicht als Verbesserungsvorschlag, da Einstellungen in der .htaccess ignoriert werden.

SniperSister: ich habe deinen Vorschlag einmal mit eingebracht:

Media Manager bypasses browser cache (.htaccess) · Issue #40787 · joomla/joomla-cms

Steps to reproduce the issue Create a folder with more than 500 images in the Joomla Media Manager. Add the following to the .htaccess: Oops, I can't insert…

github.com

Ok, kurzes Feedback - die Lösung ist nicht Upgradekompatibel, es muss lediglich Schritt 1 von Beitrag #3 wiederholt werden. Mehr nicht.

SniperSister Ich sag mal so - damit die Bilder im Browser Cache landen, muss man in der .htaccess eine explizite Anweisung erfolgen. Wenn ein Nutzer dazu in der Lage ist, kann er - wenn er denn will, dass für das Backend ausschließen.

Für mich ist es weiterhin keine gute Lösung, so wie es gelöst ist und ich kann mir gut vorstellen, dass sich viele einfach nur wundern, warum das so langsam ist.

Ich glaube, dass ist mit ein Ticket wert - und ich werde deinen Vorschlag einmal aufgreifen, dass der Timestamp nur dann gesetzt werden soll, wenn das Bild auch tatsächlich verändert wurde. Dann macht es wirklich Sinn!

Ich verstehe den Wunsch nach einem Link, doch handelt es sich um eine Präsenz, die nicht genannt werden möchte. Das muss ich respektieren.

flotte Jitbuffer ist eine weitere Optimierung für den OpCache - probier es einfach mal aus.

Der Grund wird YTP sein, doch das kann man nicht so ohne weiteres "Abschalten"

Der Provider ist Webgo und im Prinzip alles auf SSD gehostet

Jetzt habe ich verstanden, was du meinst.

Die Seite selbst hat nur 2 Erweiterungen. Eine davon ist YTP, die andere zur Abwehr von Schadbots.

Auf einer Parallelinstallation wurden sämtliche Erwweiterungen, die nicht von Joomla stammen entfernt (bis auf YTP), gebracht hat es aber im Speed nichts. Der Webserver ist mit ngnix, Opcache, Jitbuffer und APCU bereits auf Optimum getrimmt.

flotte

Es spielt keine Rolle, vielleicht liegt es auch an Joomla selbst, dass durch die Upgrades seit Mambo irgendwann einmal einen Hieb erhalten hat. Darum geht es hier ja auch gar nicht, sondern um den Einsatz eines Caches - er ist dazu da, um eine Seite schneller zu machen und die Last vom Server zu nehmen.

Danke für Die Antwort - Man muss tief rein, um das Optimum aus dem Cache herauszuholen, insbesondere, wenn man YTP arbeitet.

Als Beispiel

J4 Cache allein: Seitenladezeit ~2 Sek.

J4 Cache mit OpCache, Jitbuffer & APCU Seitenladezeit: 0,3 Sek

Schwachstelle: J4 Plugincache ist "verdammt" gut aber doof in seiner Intelligenz.

Schön wäre der Plugincache auf URL-Instanz und sollte sich der Beitrag ändern, so soll auch der Cache gelöscht werden.

Ein Problem ist, wenn du die Bilder noch dynamisch anpasst auf die verscheidenden Endgeräte. Dieser Prozess geschieht erst, wenn die Seite mit dem jeweiligen Endgerät aufgerufen wurde. So dauert die Generierung der Seite eine Zeit, bis sie vollständig gecacht werden darf. Diese Einstellmöglichkeiten fehlen dem J4 Plugincache - also dem Systemcache.

Hallo Forum,

J4 hat zwar mit dem Cache einen Sprung nach vorne gemacht, doch bin ich nicht immer nicht zufrieden damit. Da geht mit ngnix, APCU, OpCache noch mehr - diese Einstellungen aber sind Serverseitig und ich habe eine paar Präsenzen, wo ich das nicht über die php.ini steuern kann.

Ich habe mich ein wenig umgesehen, welche Erweiterungen es hierfür gibt und im Grunde gibt es nur eine:

Speed Cache, by JoomUnited - Joomla Extension Directory

Kennt die jemand von euch, der darüber etwas berichten kann?

Vielen lieben Dank für Tipps und Hinweise

MItches

Indigo66 es handelt sich ausschließlich um den Media-Manager im Backend. Ich nutze FF.

Re:Later vielen lieben Dank - you made my day

Was meint ihr, ist das was für die Wishlist oder ein Bug? Wisst ihr, welche Funktion der Timestamp überhaupt haben soll?

Hallo liebes Forum,

ich bin gerade wieder einmal unterwegs und verzweifle mit dem Media-Manager von Joomla. Zuhause ist mit das bisweilen nicht aufgefallen, doch jetzt,wo es um den mobilen Traffic geht, sehe ich etwas, dass so nicht sein sollte.

In J3 hatte ich per .htaccess angewiesen, dass die Bilder im Backend im Cache des Browsers verweilen sollen. Das spart in einem Verzeichnis von mehr als 300 Bilder enormen Traffic und Zeit.

In J4 aber ist man auf die Idee gekommen, einen Timestamp hinter die Bilder zu kloppen und so werden jedes Mal 300 MB an Daten gezogen. Unterbrechen kann man den Vorgang erst, wenn die Bilder geladen sind. Ein caching der Bilder ist somit nicht möglich. Das ist echt übel und an manchen Orten mit schwachen Empfang der reinste Horror. Daher die Frage an euch, wie man hier kurzfristig für Abhilfe sorgen kann?

<div class="image-background"><img class="image-cropped" src="https://www.de/images/verzeichnis/bild.jpg?1684227749408" alt="dateiname.jpg" loading="lazy" width="800" height="450"><!--v-if--></div>

Danke für die Antwort - Warum ist denn vor dem Text Feld überhaupt ein Listenelement angegeben? Wenn, dann bestimme doch ich, ob ein <ul> und <li> davor soll

Hallo Forum,

eine Frage, zu der ich keine Lösung gefunden habe. Ich habe vor dem Einleitungstext noch einem Text als Feld (Text) definiert, welches oberhalb vom Bild angezeigt werden soll. Funktioniert auch soweit, nur dass dieses Feld mit <ul> und <li> ausgestattet ist. Ich habe aber nichts gefunden, um das zu entfernen. Wisst ihr vielleicht, wie das geht?

Ja, ich hatte mit Nicholas vor kurzem erst Kontakt, da ich eine Frage mit der .htaccess hatte. JCH ist und bleibt ein Overload insbesondere bei J4 - das aber ist nur meine persönliche Erfahrung

ist erledigt

Gern, aber wo?