Beiträge von tekknotrip

Zitat

Kannst du es etwas genauer beschreiben?

Klicke ich auf einen Ordner, passiert nichts er wird ausgewählt und als Datei deklariert. In j3 konntest du drauf klicken und warst im Ordner:

Zitat von WM-Loose

In J3 war es aber auch nicht anders.

Doch, dort konntest du die Ordner anklicken und warst dann in diesem Ordner

uiuiui,

ich wollte da niemanden zu nahe treten.

Die 160 Zeichen sind letztlich egal, es nervt halt.

VORSCHLAG - die 160 Zeichen bleiben grau, solange man unter 160 Zeichen ist. Alles was darüber hinausgeht, wandelt sich die 160 Zeichen in rote Schrift, speichern kann man aber trotzdem und es wird auch so übernommen. Es ist dann dem Nutzer überlassen, was er macht und was nicht.

Google hatte vor kurzem ein 120 Zeichen Limit und außerdem nimmt Google sich den passenden Test aus dem Meta, der zur Suchanfrage passt und begrenzt das auf 160 Zeichen. Da kann und darf also mehr drin stehen.

Zitat

There's no limit on how long a meta description can be, but the snippet is truncated in Google Search results as needed, typically to fit the device width.

https://developers.google.com/search/docs/appearance/snippet

Hallo Leute,

ich bin gerade dabei, die 4.2.2 auszurollen. Hatte zuvor 3.10.11 im Einsatz.

Jetzt aber fallen mir ein paar Dinge auf, die nicht nur nerven, sondern ein vernünftiges Arbeiten verhindern und ich möchte Fragen, ob ihr ähnliche Erfahrungen gemacht habt.

1. Beitrag - Neu - Bilder & Links. Bild auswählen, links im Menü eine Kategorie auswählen. Dropdown kommt, jedoch wird der Dropdown abgeschnitten - man kann nicht weiter nach unten Scrollen. Versucht man es auf der rechten Seite, so kann man den Ordner nicht öffnen (warum denn nicht?). Er erkennt den Ordner als Datei (huch?)

2. Möchte ich die Kategorie wählen, so erscheint diese nicht und auch hier kann nicht nach unten gescrollt werden. Stattdessen muss man alle Menüpunkte durchscrollen:

Im Meta-Description Text wird der Text einfach abgeschnitten. Das ist doof, wenn der Text teils aus einer Einleitung stammt

Würde mich freuen, wenn ihr diese Probleme bestätigen könnt. Evtl. lässt sich dann ein Ticket daraus eröffnen. Vielleicht bin ich auch nur zu doof

Danke für den Link!

Hallo liebes Forum,

immer wieder Sonntagabends versucht jemand eine Schwachstelle zu finden, doch die Systeme schlagen frühzeitig Alarm, sodass ich reagieren kann.

Die IP-Adresse ist zwischenzeitlich lokalisiert und über die .hatccess blockiert.

Der Angriff erfolgt über die URL:

/URL-wbseite.html?start=4%20RLIKE%20(SELECT%20(CASE%20WHEN%20(533=533)%20THEN%201%20ELSE%200x28%20END))%20--%20 HTTP/1.0

Normalerweise werden SQL-Injections erkannt und blockiert. Diese nutzt aber nicht das übliche Schema, sondern schafft es tatsächlich, die MySQL unter beschuss zu nehmen (Max Connections erreicht).

Ein wenig Abhilfe hat ein Script für die .htaccess geschaffen:

# Block MySQL injections, RFI, base64, etc.
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR]
RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} \=\|w\| [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)/self/(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)cPath=http://(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*iframe.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^i]*i)+frame.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} base64_(en|de)code[^(]*\([^)]*\) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>).* [NC,OR]
RewriteCond %{QUERY_STRING} (NULL|OUTFILE|LOAD_FILE) [OR]
RewriteCond %{QUERY_STRING} (\./|\../|\.../)+(motd|etc|bin) [NC,OR]
RewriteCond %{QUERY_STRING} (localhost|loopback|127\.0\.0\.1) [NC,OR]
RewriteCond %{QUERY_STRING} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]
RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]
RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR]
RewriteCond %{QUERY_STRING} (sp_executesql) [NC]

RewriteRule ^(.*)$ - [F,L]

Das führt bei Treffern zu einer 403 Meldung, das filtert aber nicht alles ab.

Wisst ihr, um welche Art der Attacke es sich hier handelt, und wie man dieser in Joomla -nachhaltig - habhaft werden kann?

Ich danke Dir!

Ok, das erklärt den Unterschied. Ich muss mir das in den kommenden Tagen nochmals genauer anschauen und herausfinden, warum das in J4 in die "falsche" Richtung transferiert wird.

Zitat von drmenzelit

Das war schon immer so.

Danke! Mit 3.10.10 funktioniert es, mit 4.x nicht mehr.

Bedeutet das, dass das in J3.x ein Fehler war?

Hallo liebes Forum,

ich habe die Testumgebung von 4.1.2 auf 4.2.2 aktualisiert, in der Hoffnung, dass sich das Problem mit der SEF-URL erledigt hat. Das ist leider nicht der Fall.

In J 3.10.10 funktioniert die URL-Umleitung noch, seit 4.x nicht mehr. Die Tipps mit einem Menüpunkt anlegen führen leider nicht zum Ziel, da ich - einzelne Beiträge einer Kategorie - direkt von der Startseite aus verlinke. Ich kann doch nicht für jeden Beitrag ein Menüpunkt anlegen. Bin ich denn der Einzige, der dieses Problem hat?

Für Tipps wäre ich nach wie vor dankbar

Lösung bei mir

Paket downloaden

All Official Releases

Erweiterung -> Installieren -> Paketdatei hochladen -> das heruntergeladene Paket auswählen

Fertig

WM-Loose

Danke für den Hinweis

Zitat von WM-Loose

Wenn du ein Kleingewerbe angemeldet und deine Einkünfte ordnungsgemäß versteuert hast, ist die Eingangsfrage eigentlich beantwortet.

Darf ich fragen, warum?

Zitat von Re:Later

"Webdesigner", egal wie hübsche Seiten er bastelt, gilt nicht per se als künstlerischer Beruf.

Und genau das ist es, was mich verunsichert. Ich bin kein freiberufler, sondern erstelle auf Basis von Joomla und Templates Webseiten. Das aber auch nur nebenher mit Rechnung, MwSt. und Vorsteuerabzug

Hallo Leute,

ich bin etwas verunsichert. Ich habe vor Jahren einmal eine Webseite für jemanden erstellt und in Rechnung gestellt.

Wie ist das - ist diese Tätigkeit zur Abgabe an die Künstlersozialkasse verpflichtet - auch wenn man ein fertiges Template gekauft hat? Das Problem - dieser Jemand hat eine Steuerprüfung und dort soll das aufgefallen sein.

Kennt jemand das Problem?

Grüße,

Mitch

Indigo66

Danke für den Hinweis, nur ging das gestern im Minutentakt. Wenn ich weiter oben etwas editiert hätte, wäre es im Kontext untergegangen.

Nachforschungen haben ergeben, dass es einen Hackversuch gegeben hat. Ich denke einmal, dass dieser nicht erfolgreich war, da keine neuen Daten in den letzten 24 Stunden auf den Server geladen wurden. Die Attacke sah so aus:

31.41.244.0 - - [03/May/2022:15:41:37 +0200] "POST /j-myhotel/search-hotels HTTP/1.0" 200 - "https://www.google.com/search?hl=en&q=testing" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.0 Safari/537.36" www.website.de

Das meiste, was ich dazu finden konnte, ist entweder ein XSS oder svg Hack.

Preventing XSS attack via Referrer header in Classic ASP

I'm currently trying to tie down some legacy areas of our code. Acunetix report says: HTTP Header input Referer was set to…

stackoverflow.com

Bei dem die Cookies und Sessions manipuliert werden. Das hat aber scheinbar nicht funktioniert.

Ich habe in meiner .htaccess die Zeilen seit J3.10.0 hinzugefügt - dass muss man manuell machen und ich denke, dass hat hier geholfen:

## No directory listings
<IfModule mod_autoindex.c>
  IndexIgnore *
</IfModule>

## Suppress mime type detection in browsers for unknown types
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

<FilesMatch "\.svg$">
  <IfModule mod_headers.c>
    Header always set Content-Security-Policy "script-src 'none'"
  </IfModule>
</FilesMatch>

Der zweite Angriff ging dann über das Kontaktformular, was mir rund 18.000 Mails einbrachte:

31.41.244.0 - - [03/May/2022:17:43:37 +0200] "GET /](d+[.d]+) HTTP/1.0" 200 1512 "https://www.google.com/search?hl=en&q=testing" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.0 Safari/537.36" www.website.de

Das Formular wurde abgestellt, die Sessions bereinigt und seitdem ist Ruhe.

Zur Sicherheit aber wurde dennoch ein Backup von vor 24 Stunden eingespielt und die Passwörter geändert

Elwood danke

Alle Punkte schon vor längerer Zeit erledigt.

• Google ReCAPTCHA oder ECC+ einsetzen
• Kontaktformular richtig einstellen
• Registrierung deaktivieren
• E-Mail- Empfehlung deaktivieren

Das Problem scheint zu sein, dass ein Bot versucht, das Formular zu benutzen, um mit dem Betreff ein Code auszuführen.

Da helfen die Einstellungen wenig. Was aber hilft, dass Formular zu deaktivieren, was ich jetzt mal gemacht habe.

Die Sessions aber laufen noch immer falsch

Nachtrag

nachdem ich das Kontaktformular offline genommen habe, die Sessions kurz auf die DB umgestellt und den /tmp nochmals geleert habe, ist Ruhe.

Vor ca. 1,5 Stunden habe ich die Sessions wieder auf PHP umgestellt und alles läuft so, wie es soll.

Mit dem Befehl

find . -mtime -1 -ls |more

kann man per SSH nachschauen, was in den letzten 24 Stunden an Dateien so verändert wurde und da ist nichts auffälliges dabei. Morgen werde ich mir mal die Logfiles mit

awk '{print $10}' /var/log/nginx/access.log | sort | uniq -c | sort -n

vornehmen. Aber ganz gleich, was ich finden werde oder nicht, würde ich der Sache dennoch auf den Grund gehen, wie man auf diese Art und Weise eine Attacke auf die Webseite machen kann. Ich kann mit die Logik dahinter nicht verstehen.

Vielleicht war es auch nur ein sinnloser Bot

Ich möchte mich an dieser Stelle einmal für eure raschen Reaktionen und Anregungen bedanken!!!

Ok, ich glaube die Ursache gefunden zu haben, aber nicht die Lösung.

In meinem SPAM Ordner habe ich rund 18.000 E-Mails Seite heute Nachmittag.

Scheinbar missbraucht einer das Kontaktformular, was ich jetzt deaktiviert habe. Die E-Mails sind immer gleich:

Zitat

Dies ist eine Mailanfrage via die webseite/ von:

lxbfYeaa <sample@email.tst>

555

Alles anzeigen

Zitat von jsc_01

Zum Verständnis: Welche Datei meinst du eigentlich? php_error_log oder error.php?

Du redest von php_error_log Datei und postest ein Bild vom Joomla-Admin Verzeichnis mit error.php.

nein, die Einträge sind im php_error_log. Der Screenshot ist auf eine von Elwood gestellte Frage, ob die Pfade korrekt wären

Der Betreff der E-Mails ist immer anders:

Zitat

Betreff: 1'||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||'

mit

find . -mtime -1 -ls |more

Finde ich zumindest mal nichts auffälliges

Danke für den Link, den habe ich auch gefunden und nach diesem Eintrag:

Zitat

It is an information vulnerability: a malicious attacker may alter the cookies and assign illegal characters to PHPSESSID to expose this PHP warning, which in fact contains juicy information like the file path and the username!

habe ich den Thread hier eröffnet

Zitat von tekknotrip

Ich habe /tmp mal geleert, mal schauen, was das error_log macht.

Nee, hat nichts gebracht

Zitat von WM-Loose

Hast du irgenwwas installiert oder ein Update zugelassen, denn session_start()generiert eine Warnung, wenn PHPSESSID unzulässige Zeichen enthält

Nein, nichts installiert.

Der Inhalt einer Session sieht so aus:

joomla|s:828:"TzoyNDoiSm9vbWxhXFJlZ2lzdHJ5XFJlZ2lzdHJ5IjozOntzOjc6IgAqAGRhdGEiO086ODoic3RkQ2xhc3MiOjE6e3M6OToiX19kZWZhdWx0IjtPOjg6InN0ZENsYXNzIjozOntzOjc6InNlc3Npb24iO086ODoic3RkQ2xhc3MiOjQ6e3M6NzoiY291bnRlciI7aToxO3M6NToidGltZXIiO086ODoic3RkQ2xhc3MiOjM6e3M6NToic3RhcnQiO2k6MTY1MTU5ODA1OTtzOjQ6Imxhc3QiO2k6MTY1MTU5ODA1OTtzOjM6Im5vdyI7aToxNjUxNTk4MDU5O31zOjY6ImNsaWVudCI7Tzo4OiJzdGRDbGFzcyI6MTp7czo5OiJmb3J3YXJkZWQiO3M6MTM6IjE4OC4xMzguOS4xNzkiO31zOjU6InRva2VuIjtzOjMyOiJRZnBwWktZUXk0RUlUWTNNNTRnalBGcHB0SHRWTFhTOSI7fXM6ODoicmVnaXN0cnkiO086MjQ6Ikpvb21sYVxSZWdpc3RyeVxSZWdpc3RyeSI6Mzp7czo3OiIAKgBkYXRhIjtPOjg6InN0ZENsYXNzIjowOnt9czoxNDoiACoAaW5pdGlhbGl6ZWQiO2I6MDtzOjk6InNlcGFyYXRvciI7czoxOiIuIjt9czo0OiJ1c2VyIjtPOjIwOiJKb29tbGFcQ01TXFVzZXJcVXNlciI6MTp7czoyOiJpZCI7aTowO319fXM6MTQ6IgAqAGluaXRpYWxpemVkIjtiOjA7czo5OiJzZXBhcmF0b3IiO3M6MToiLiI7fQ==";

Elwood

    public $log_path = '/home/www/website/j3-10-8/logs';
    public $tmp_path = '/home/www/website/j3-10-8/tmp';

logs:

tmp:

Aber auch diese Einstellung ist seit Jahren unverändert

Zitat von CurlY BracketS

Ich kenne das, wenn der Sitzungsspeicher auf 'Dateisystem' gestellt ist (Konfiguration System -> Tab)

So ist es auch, nur dass die Einträge im error_log heute extremst massiv sind (in den letzten 4 Stunden rund 800 Einträge).

Ich habe /tmp mal geleert, mal schauen, was das error_log macht.