Hallo Elwood,
D*A*N*K*E
Dass man über die Joomla Update Komponente auch Hochladen und Installieren kann, hatte ich einfach nicht auf dem Schirm.
VG Luzi
Beiträge von Luzi
-
-
Danke, Elwood, das mit dem Paket installieren über den Installer habe ich schon versucht. Funktioniert nicht. Da erhalte ich die Meldung: Das Joomla-Paket kann nicht wie andere Erweiterungen installiert werden. Hierfür muss die Joomla! Update Komponente genutzt werden.
Kannst du das Update nicht einfach manuell installieren?
das heißt wohl alles über ftp hochladen?
-
Hallo zusammen,
beim Updateversuch auf Joomla 3.10.5 auf 3.10.6 über die Updateroutine im Backend bekomme ich folgende Fehlermeldung: 504 Gateway Timeout The gateway did not receive a timely response from the upstream server or application.
Ansonsten sind alle Seiten erreichbar im Frontend und Backend. Habe den Provider schon angeschrieben. Der hat php aktualisiert auf 7.4.27. Aber das hat leider keine Abhilfe geschaffen. hat jemand eine Idee, woran der Fehler liegen kann? -
Ich nutze den Seminar-Manger nicht daher:
Falls du wegen der Registrierung im Seminar-Manager die Benutzer-Registrierung dort:
https://help.joomla.org/proxy/…tion&lang=de#User_Options
nicht deaktivieren kannst bzw. darfst?richtig, ohne aktive Registrierung funktioniert der Seminar-Manager nicht.
Alles anzeigen/index.php?option=com_users&view=registration
ist dann aber weiterhin wohl "ausnutzbar".
Sofern die Seminar-Manager-Komponente keine eigene Registrierung enthält:
Dann könnte man z.B. per zusätzlichen eigenen Pflichtfeldern und/oder captcha die Registrierung "schützen"(vor Bots).
ja, das denke ich ist das Problem. ReCaptcha ist schon aktiv. Evtl. wären weitere zusätzliche Pflichtfelder eine gute Möglichkeit. Werde ich mal testen. Im Moment ist ja wieder Ruhe.
Override von components/com_users/tmpl/login/default_login.php, die Zeilen mit der Registrierung entfernen. Bei den Seminare (wie auch immer die erstellt sind) einen Link zur Registrierung angeben. Registrierung dann als eigenes Menüpunkt machen.
das ist sicher eine bessere Möglichkeit, als meine css-Lösung, aber es bleibt ja die Möglichkeit des direkten Aufrufs über /index.php?option=com_users&view=registration
Danke euch allen
Luzi -
Danke für eure Tipps. Nun, das Problem hat sich jetzt mal von alleine gelöst. Der Spuk war nach 24 Stunden vorbei.
Eine andere Frage dazu: Die Benutzerregistrierung soll ausschließlich bei der Buchung eines Seminars über den SeminarManager Komponente erfolgen. Daher habe im Loginformular ich die Möglichkeit der Benutzerregistrierung per css ausgeblendet, was natürlich leicht umgangen werden kann, wenn man ein wenig auskennt. Kennt ihr da eine bessere Möglichkeit, diese Registrierungsmöglichkeit zu deaktivieren? -
Hallo zusammen,
seit gestern erfolgt ca. alle Stunde eine Benutzerregistrierung immer mit gleichem Namen 'Timothy' und dem Benutzernamen 'cxj000132deep und der Mail password.researchers.gatech.4011@outlook.com. Bei jeder Anmeldung ändert sich die Nummer in der Mail, also 4011, 4012, usw., genauso beim Benutzernamen. Erfolgt alles anscheinend maschinell. Wir können die Benutzerregistrierung nicht deaktivieren, da diese für unsere Seminaranmeldung erforderlich ist.
Gibt es eine Möglichkeit, diese Registrierungen abzustellen?
Joomla: 3.10.4, die Benutzerkonten sind nicht aktiviert, Benutzergruppe ist Registriert.
Inhalt eines Mail-Rückläufers:Generating server: DB8P194MB0773.EURP194.PROD.OUTLOOK.COM
password.researchers.gatech.171@outlook.com
Remote Server returned '550 5.5.0 Requested action not taken: mailbox unavailable.'
Original message headers:Code
Alles anzeigenReceived: from AM6P194CA0040.EURP194.PROD.OUTLOOK.COM (2603:10a6:209:84::17) by DB8P194MB0773.EURP194.PROD.OUTLOOK.COM (2603:10a6:10:164::22) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.4867.7; Mon, 10 Jan 2022 02:45:42 +0000 Received: from AM7EUR06FT023.eop-eur06.prod.protection.outlook.com (2603:10a6:209:84:cafe::a0) by AM6P194CA0040.outlook.office365.com (2603:10a6:209:84::17) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.4867.9 via Frontend Transport; Mon, 10 Jan 2022 02:45:42 +0000 Authentication-Results: spf=pass (sender IP is 212.227.126.135) smtp.mailfrom=neurofeedback-info.de; dkim=none (message not signed) header.d=none;dmarc=bestguesspass action=none header.from=neurofeedback-info.de; Received-SPF: Pass (protection.outlook.com: domain of neurofeedback-info.de designates 212.227.126.135 as permitted sender) receiver=protection.outlook.com; client-ip=212.227.126.135; helo=mout.kundenserver.de; Received: from mout.kundenserver.de (212.227.126.135) by AM7EUR06FT023.mail.protection.outlook.com (10.233.254.88) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.4867.10 via Frontend Transport; Mon, 10 Jan 2022 02:45:41 +0000 X-IncomingTopHeaderMarker: OriginalChecksum:BC58AE7FD466C31D284023916676335DAC267B350BD242766B088124AF9797EB;UpperCasedChecksum:8DEFDB3F30F9E81DCA8B9B134D7BE48965282DCF0150E1D2DD65A337013F3C50;SizeAsReceived:1898;Count:13 Received: from localhost ([87.106.243.127]) by mrelayeu.kundenserver.de (mreue011 [213.165.67.97]) with ESMTPSA (Nemesis) id 1MFsER-1n9ET42olb-00HNAg for <password.researchers.gatech.171@outlook.com>; Mon, 10 Jan 2022 03:45:41 +0100 To: password.researchers.gatech.171@outlook.com Subject: =?utf-8?Q?Kontoinformationen_f=C3=BCr_Timothy_bei_Institut_f=C3=BCr_EEG_N?= =?utf-8?Q?eurofeedback_IFEN?= Date: Mon, 10 Jan 2022 03:45:41 +0100 From: unsere Mail entfernt Message-ID: <cbc961065e7daa1a21ecb5950e64d6b0@xxxxunsere Mail entfernt> X-Mailer: PHPMailer 5.2.28+joomla2 (https://github.com/PHPMailer/PHPMailer) MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit X-Provags-ID: V03:K1:g9lwfMtSgq8+KbzmKUta6DzzKMk2pgoESgcLWv2vBPoKvGeNBlJ hLXmJo/b25OeON2cObeSJDi3cipPbvW8gyWq79HOKycyLOfbSS0NeiDn3sf1s4QqU3oPnbt ZbDrC9yLACQEIi3EU2DBP62AvR8A8kUcy/v5ZXbF+EpNatIdSykXen/42GzpaxzunEXCi// tduQp74w6rW7y/64i7ogQ== X-Spam-Flag: NO X-UI-Out-Filterresults: notjunk:1;V03:K0:Frdjvw2IdjM=:IF4VC8r8XZuoW7knckPCNR Fo3H466kBmVx9tmopJze/Sfwg+XpRCdT0lifeB8ix0TQtf6wx8zCCTuEbCzHY/QTI/oRpQtKF ubrfavusUUd3kxC1DGTZsWwz0Ixfk318njM4DIsfj4n9nwEi0B9rSQfd7J7cu+RqT+0e7MKaH EA7WFUjMo9mpBMYLh5kQHd01AD83AvLVbABQGC8N2rrB2udFFMQtNv1aR7cRfslTmDZLWKN1O FR1qFeDbpyWAVge2gNKLlyS48x0mO9BH5EZINlBLqNnINHazVRNN6PyaJ492on97QR19rINmE HGi1ZH0tAbJo9W6yDV2RiiwJN1HM5wm9aU2zSFOh/yC8d9YlVtattEmxg/1m+hb7t2fgLrPhp r1+LdmLXmldv1Dr33oD5XUI4W/mSIRNnfC+5JyOq/wR+x01vh2F2P9/x5RitVcIf9EttCbu4B P4c6eijWwqsIXf3jw8w6Dn2Sxpz66+ZZqklkddQwhA0k5dgK0uXor9S4jwefIMcy6hKsWLz3e ltlGEFceh1ahe9mZHKDZ1tYfAswgi6pbMRygr6yYQdZ6e8FRJp7sSUNS2yJTdhL+e/meouCWH XmjOIu8sDWFGas6SZWJ3KJdPbIu30ByZJekPQ/mTQBxE4HUyudkeV15bvcxdxFV6wVO3B02ds 25ysZy1rTH4zavpGjVAWJqjKjk0Sv14TXM0X+Q6XXKjQ+CS/9R4YxdWq3Nd06fWJc39vnCYzR UoLpQ+pgTl1fwh8o X-IncomingHeaderCount: 13 Return-Path: xxxxx unsere Mail entfernt X-EOPAttributedMessage: 0 X-EOPTenantAttributedMessage: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa:0 X-MS-PublicTrafficType: Email X-MS-Office365-Filtering-Correlation-Id: 32c1fd7d-3c7b-4032-4c38-08d9d3e34b08 X-MS-TrafficTypeDiagnostic: DB8P194MB0773:EE_ X-MS-Exchange-EOPDirect: true X-Sender-IP: 212.227.126.135 X-SID-PRA: xxxxxx unsere Mail entfernt X-SID-Result: PASSDanke für euere Tipps
-
Hallo zusammen,
ich danke euch allen für eure Antworten. Da habt ihr recht mit dem SSL. Ich habe jetzt mal die Loginmöglichkeit deaktiviert. Das ist tatsächlich eine Nebenwebsite (und nicht die meine), die noch ausgebaut werden soll, aber, es ist wie mit vielen Dingen, nichts ist zählebiger als ein Provisorium.
Das inbegriffene SSL-Zertifikat von Ionos liegt bei einer anderen Domain.
VG Luzi
Da fällt mir noch eine Frage dazu ein. Es ist aber so, dass eine SSL-Verschlüsselung diesen Click Jacking-Missbrauch nicht verhindern kann, oder?
-
Nun ja, bei machen Websites wärs ja wohl gut wenn sie 404 wären...
Nun, das ist sicher so und auch bei manchen Beiträgen wäre die 404 die bessere Variante …
-
der Absender nennt sich Faaiz Owais mit folgender Mail: ethicalhackerbasil@gmail.com>
Mehr Infos über den Absender habe ich nicht und Google kennt ihn auch nicht. -
das ist der Inhalt der kompletten Mail
HTML
Alles anzeigenHi Team. I am an security researcher and I have found a bug in your website http://neuromeditation-info.de/ The details of it are as follows:- CLICK-JACKING. Description : Click-jacking, also known as a "UI redress attack" is when an attacker uses multiple transparent or opaque layers to trick a user into clicking on a button or link on another page when they were intending to click on the top level page. Thus, the attacker is "hijacking" clicks meant for their page and routing them to another page, most likely owned by another application, domain, or both. Using a similar technique, keystrokes can also be hijacked. With a carefully crafted combination of style-sheets, I-frames, and text boxes, a user can be led to believe they are typing in the password to their email or bank account, but are instead typing into an invisible frame controlled by the attacker. Impacts: 1. Tricking a user into unknowingly clicking on things and then gaining access to his account 2. An attacker can gain access to the credentials of users and use those credentials for booking and payment. 3. Adding events to their profile they are interested in attending. 4. editing their star rating on reviews 5. Using their bank account details to books in hotels whereas the bill will go to their bank account. 6. Bookmarking unwanted business. POC: <html> <head> </head> <body> <h1>Click-Jacking In Your Site</h1> <iframe src=" http://neuromeditation-info.de/index.php/en/login "height="800" width="1300"> </iframe> </body> </html> Waiting for your reply -
Hallo zusammen,
wir haben eine Mail erhalten in der es heißt, dass eine unserer Joomlawebsiten (Version 3.10.3) über Click Jacking über das Loginformular im Frontend angegriffen wird. Ich kann das nicht beurteilen ob das wirklich so ist. Hat da jemand eine Erfahrung wie man das feststellen kann?
Wie kann man sich davor schützen? Über HTTP-Header X-FRAME-OPTIONS ? Kann man diese Haederinfo in eine Overridedatei in die index.php eintragen?
Ich habe gelesen, in Joomal 4 ist zur Verhinderung von Click Jacking bereits ein Plugin integriert. Kann man ein entsprechendes Plugin auch in Joomla 3 verwenden? Wenn ja, habt ihr eine Empfehlung?
Danke für eure Tipps.
-
Hallo Later,
der Beitrag ist ja schon eine Weile her, aber endlich habe ich mich durchgerungen und bin deinem Rat gefolgt und so hat es geklappt.
Vielen Dank
-
Danke, Christian. Sorry wegen des Links. Ich habe die Seite nachträglich eine Ebene nach unten geschoben und habe nicht drangedacht, dass dann der Link im Forum nicht mehr funktioniert. Die sigplus Parameter (1.5) habe ich irgendwie schon alle durch, aber manches funktioniert einfach nicht. Ich bin schon ganz irre. Das Problem mit der Lightbox-Größe habe ich jetzt über css mal so vorläufig gelöst, obwohl ja lt. dieser Liste das auch übers Backend funktionieren sollte. Ich wollte auch, dass die Diashow automatisch abläuft und habe Autostart Slideshow auf ja, funktioniert aber nicht. Ich habs dann auch noch in der Integration in den Beitrag mit allen möglichen Varianten versucht. Nix funktioniert.
{gallery lightbox_autostart=1}materialcollagen{/gallery}
{gallery lightbox:lightbox_autostart=1}materialcollagen{/gallery}
Ich werde auch nicht wirklich schlau, wie die richtigen Integrationsparameter in der Version sigplus 1.5 aussehen sollen.
-
Hallo,
soviel ich weiß, gibt es diese Einstellung auch standardmäßig in Joomla nicht. Du kannst nur den ersten Beitrag, also den führenden, über die gesamte Breite darstellen und die weiteren in Spalten.
Vg
Luzi
-
Hallo zusammen,
ich verwende hier sigplus: Link
Ich komme einfach nicht dahinter woher die Größe des Lightbox-Fensters kommt. Ich hätte das gerne größer, finde da aber keine Einstellung. Worauf sich die Größenangabe im Quelltext mit "max-width: 100%" bezieht, weiß ich auch nicht. Das Bild ist auf jedenfall deutlich größer. Hat jemand eine Idee?
VGLuzi
-
Danke euch allen, es ist gelöst. Beim copy and paste habe ich versehentlich beim Pfad für das log-VZ ein Leerzeichen am Anfang mit eingefügt.
Viele Grüße
Luzi
EDIT:
EDIT: Besser nicht den Hoster nennen!
Leider kann ich den Beitrag nicht mehr bearbeiten.
-
Danke, ich hab das mit der joom-config.php gemacht. Da wird vorgeschlagen fürs temp-Verzeichnis: /html/vs2/tmp und für die logs gibt es keinen Vorschlag. Ich habe dann analog /html/vs2/administrator/logs gewählt. Ergebnis: die Aktualisierung läuft, das tmp-VZ ist beschreibbar, das log-VZ nach wie vor schreibgeschützt.
-
Ich habe mir den Pfad bereits über eine Datei mit dem Code:
<?php
echo $_SERVER['DOCUMENT_ROOT'];
?>
anzeigen lassen:
Ergebnis: /home/www/p573103/html/vs2/
Und laut Backend sind die beiden Verzeichnisrechte schreibgeschützt:/home/www/p573103/html/vs2/administrator/logs (Protokollverzeichnis)
/home/www/p573103/html/vs2/tmp (Temp-Verzeichnis)
Also, der Pfad müsste passen.
Verzeichnisrechte habe ich über ftp auf 777 gesetzt, da sie bereits auf 755 standen und das nichts hilft.
Ratlos. -
2.Und schau in den Systeminfos, ob die Verzeichnisse alle auf "grün" stehen!
Danke, das wird es sein. Die beiden Verzeichnisse /tmp und administrator/logs sind schreibgeschützt. Ich habe über ftp die Verzeichnissrechte auf 777 gesetzt, das ändert aber nichts. Der Schreibschutz bleibt bestehen. Wie kann man denn den Schreibschutz aufheben?
-
Hallo zusammen,
beim Update auf Joomla 3.9.24 (von 3.9.23) erhalte ich folgende Fehlermeldung.
"ERROR:
Could not open archive part file /xxxxx/vs2/tmp/Joomla_3.9.24-Stable-Update_Package.zip for reading. Check that the file exists, is readable by the web server and is not in a directory made out of reach by chroot, open_basedir restrictions or any other restriction put in place by your host."
Den Pfad zur Aktualisierungsdatei habe ich schon geprüft, der ist in Ordnung, auch in der configuration.php.
Man hat den Profider gewechselt und daher denke ich, es hängt damit zusammen. Aber was kann es sein? Hat jemand eine Idee?
Vielen Dank im Voraus
Luzi
