Beiträge von Luzi

Zitat von Sieger66

Nun ja, bei machen Websites wärs ja wohl gut wenn sie 404 wären...

Nun, das ist sicher so und auch bei manchen Beiträgen wäre die 404 die bessere Variante …

der Absender nennt sich Faaiz Owais mit folgender Mail: ethicalhackerbasil@gmail.com>
Mehr Infos über den Absender habe ich nicht und Google kennt ihn auch nicht.

das ist der Inhalt der kompletten Mail

Hi Team. 
I am an security researcher and I have found a bug in your website    http://neuromeditation-info.de/ 

The details of it are as follows:-

CLICK-JACKING.

Description :

Click-jacking, also known as a "UI redress attack" is when an attacker uses multiple transparent or opaque layers to trick a user into clicking on a button or link on another page when they were intending to click on the top level page. Thus, the attacker is "hijacking" clicks meant for their page and routing them to another page, most likely owned by another application, domain, or both.

Using a similar technique, keystrokes can also be hijacked. With a carefully crafted combination of style-sheets, I-frames, and text boxes, a user can be led to believe they are typing in the password to their email or bank account, but are instead typing into an invisible frame controlled by the attacker.

Impacts: 

1.       Tricking a user into unknowingly clicking on things and then gaining access to his account 

2.       An attacker can gain access to the credentials of users and use those credentials for booking and payment. 

3.       Adding events to their profile they are interested in attending. 

4.       editing their star rating on reviews

5.       Using their bank account details to books in hotels whereas the bill will go to their bank account.

6.       Bookmarking unwanted business.

POC: 

<html>

     <head>

     </head>

     <body>

                <h1>Click-Jacking In Your Site</h1>

         <iframe src="             http://neuromeditation-info.de/index.php/en/login                  "height="800" width="1300">

         </iframe>

     </body>

</html>

Waiting for your reply

Hallo zusammen,

wir haben eine Mail erhalten in der es heißt, dass eine unserer Joomlawebsiten (Version 3.10.3) über Click Jacking über das Loginformular im Frontend angegriffen wird. Ich kann das nicht beurteilen ob das wirklich so ist. Hat da jemand eine Erfahrung wie man das feststellen kann?

Wie kann man sich davor schützen? Über HTTP-Header X-FRAME-OPTIONS ? Kann man diese Haederinfo in eine Overridedatei in die index.php eintragen?

Ich habe gelesen, in Joomal 4 ist zur Verhinderung von Click Jacking bereits ein Plugin integriert. Kann man ein entsprechendes Plugin auch in Joomla 3 verwenden? Wenn ja, habt ihr eine Empfehlung?

Danke für eure Tipps.

Hallo Later,

der Beitrag ist ja schon eine Weile her, aber endlich habe ich mich durchgerungen und bin deinem Rat gefolgt und so hat es geklappt.

Vielen Dank

Danke, Christian. Sorry wegen des Links. Ich habe die Seite nachträglich eine Ebene nach unten geschoben und habe nicht drangedacht, dass dann der Link im Forum nicht mehr funktioniert. Die sigplus Parameter (1.5) habe ich irgendwie schon alle durch, aber manches funktioniert einfach nicht. Ich bin schon ganz irre. Das Problem mit der Lightbox-Größe habe ich jetzt über css mal so vorläufig gelöst, obwohl ja lt. dieser Liste das auch übers Backend funktionieren sollte. Ich wollte auch, dass die Diashow automatisch abläuft und habe Autostart Slideshow auf ja, funktioniert aber nicht. Ich habs dann auch noch in der Integration in den Beitrag mit allen möglichen Varianten versucht. Nix funktioniert.

{gallery lightbox_autostart=1}materialcollagen{/gallery}

{gallery lightbox:lightbox_autostart=1}materialcollagen{/gallery}

Ich werde auch nicht wirklich schlau, wie die richtigen Integrationsparameter in der Version sigplus 1.5 aussehen sollen.

Hallo,

soviel ich weiß, gibt es diese Einstellung auch standardmäßig in Joomla nicht. Du kannst nur den ersten Beitrag, also den führenden, über die gesamte Breite darstellen und die weiteren in Spalten.

Vg

Luzi

Hallo zusammen,

ich verwende hier sigplus: Link

Ich komme einfach nicht dahinter woher die Größe des Lightbox-Fensters kommt. Ich hätte das gerne größer, finde da aber keine Einstellung. Worauf sich die Größenangabe im Quelltext mit "max-width: 100%" bezieht, weiß ich auch nicht. Das Bild ist auf jedenfall deutlich größer. Hat jemand eine Idee?
VG

Luzi

Danke euch allen, es ist gelöst. Beim copy and paste habe ich versehentlich beim Pfad für das log-VZ ein Leerzeichen am Anfang mit eingefügt.

Viele Grüße

Luzi

EDIT:

Zitat von JoomlaWunder

EDIT: Besser nicht den Hoster nennen!

Leider kann ich den Beitrag nicht mehr bearbeiten.

Danke, ich hab das mit der joom-config.php gemacht. Da wird vorgeschlagen fürs temp-Verzeichnis: /html/vs2/tmp und für die logs gibt es keinen Vorschlag. Ich habe dann analog /html/vs2/administrator/logs gewählt. Ergebnis: die Aktualisierung läuft, das tmp-VZ ist beschreibbar, das log-VZ nach wie vor schreibgeschützt.

Ich habe mir den Pfad bereits über eine Datei mit dem Code:

<?php

echo $_SERVER['DOCUMENT_ROOT'];

?>

anzeigen lassen:

Ergebnis: /home/www/p573103/html/vs2/
Und laut Backend sind die beiden Verzeichnisrechte schreibgeschützt:

/home/www/p573103/html/vs2/administrator/logs (Protokollverzeichnis)
/home/www/p573103/html/vs2/tmp (Temp-Verzeichnis)
Also, der Pfad müsste passen.
Verzeichnisrechte habe ich über ftp auf 777 gesetzt, da sie bereits auf 755 standen und das nichts hilft.
Ratlos.

Zitat von JoomlaWunder

2.Und schau in den Systeminfos, ob die Verzeichnisse alle auf "grün" stehen!

Danke, das wird es sein. Die beiden Verzeichnisse /tmp und administrator/logs sind schreibgeschützt. Ich habe über ftp die Verzeichnissrechte auf 777 gesetzt, das ändert aber nichts. Der Schreibschutz bleibt bestehen. Wie kann man denn den Schreibschutz aufheben?

Hallo zusammen,

beim Update auf Joomla 3.9.24 (von 3.9.23) erhalte ich folgende Fehlermeldung.

"ERROR:

Could not open archive part file /xxxxx/vs2/tmp/Joomla_3.9.24-Stable-Update_Package.zip for reading. Check that the file exists, is readable by the web server and is not in a directory made out of reach by chroot, open_basedir restrictions or any other restriction put in place by your host."

Den Pfad zur Aktualisierungsdatei habe ich schon geprüft, der ist in Ordnung, auch in der configuration.php.

Man hat den Profider gewechselt und daher denke ich, es hängt damit zusammen. Aber was kann es sein? Hat jemand eine Idee?

Vielen Dank im Voraus

Luzi

Hallo zusammen,

sorry, dass ich mich erst jetzt wieder melde. Es geht tatsächlich wieder, ohne dass ich irgendwas weiter gemacht hätte. Beim nächsten Login einige Tage später war wieder alles ok. Warum? Keine Ahnung.

Danke euch.

VG

Luzi

Danke euch allen.

Zitat von eumel1602

Hast Du an einer Erweiterung was geändert oder installiert, ein update gemacht oder sonstige spielereien?

Hast du mal einen anderen Editor getestet?
Funktioniert das Frontend ohne Probleme?

HAst du einen anderen Brwoser getestet?

Ich habe weder eine Erweiterung geändert, installiert oder upgedatet. Anderen Editor habe ich nicht getestet, da das Phänomen nicht nur im Editor auftritt, sondern bei allen Elementen im Backend, also auch, wenn ich z. B. den Titel unter Beiträgen markieren möchte. Frontend funktioniert, anderen Browser habe ich nicht getestet und kann im Moment auch nicht am iMac (kein Touchscreen), an dem das Problem auftritt. Bin gerade unterwegs und habe mich im MacBook (kein Touchscreen) eingeloggt. Da tritt das Problem nicht auf. Vielleicht verschwindet ja das Problem nach einem Neustart.

Hallo zusammen,

habe seit heute ein seltsames Phänomen auf einer Site im Backend: Es lässt sich nichts mehr mit der Maus markieren, stattdessen erscheint ein blaues Icon an der Stelle, an der der Courser steht. Das ist sowohl im Editor und auch sonst im Backend beim Versuch irgendetwas zu markieren.
Ich habe die aktuellste Joomlaversion und habe nichts an den Einstellungen geändert. Auf anderen Joomlaseiten tritt das Problem nicht auf. Bin echt ratlos. Hat jemand eine Idee, was das sein könnte?

VG Luzi

danke euch allen, ich denke, ich werde tatsächlich die Variante mit der eigenen Joomlainstallation realisieren.

LG Lu

Danke euch schon mal. Bin grad dabei beim Provider die entsprechenden Einstellungen bezüglich Umleitungstyp zu suchen.

Ich habe mich vielleicht nicht ganz richtig ausgedrückt. Es sind im Prinzip zwei verschiedene Internetseiten in einer Joomlainstallation. Die Hauptseite ist die abc.de und einige Seiten sollen über die def.de aufgerufen werden und sind eine ganz eigene Site mit eigener Navigation etc.
Das sauberste wäre wohl, eine zweite Joomlainstallation.

Hallo zusammen,

ich habe die Domain "abc.de" und die Domain "def.de". Derzeit wird alles über abc.de aufgerufen, die def.de wird an die abc.de weitergeleitet per 301. In der Adresszeile wird dann aber, wenn die Domain def.de aufgerufen wird, die abc.de angezeigt. Gibt es eine Möglichkeit, dass in der Adresszeile die Domain def.de angezeigt wird?

Ich hoffe, das ist verständlich.

VG Lu

Danke, Elwood. Ich habe Tabs and Sliders installiert und es funktioniert.