Beiträge von Kallle

Zitat von Re:Later

OffTopic:

Will auf keinen Fall Strato empfehlen/verteidigen... aber

reine Glücksache. Auch bei All-Inkl kannst du auf einem viel frequentierten Server landen, den man sich ja im Normalfall mit anderen Seitenbetreibern teilt. Da musst dann schon zu einem "kleineren" (auch) auf Joomla spezialisierten Hoster wechseln, der dann auch die "Bremsursache" für dich ermitteln kann, falls echt Drama (und nicht nur gefühltes); fc-hosting z.B..

Danke für den Hinweis. Aber ich bin jetzt seit etwa 7 Jahren bei AI (mittlerweile mit gut 20 Webseiten) und nach diversen Vorerfahrungen mit den "großen" Hostern sehr zufrieden dort - sowohl mit Leistung, als auch Preis und fairer Preisgestaltung.

Ja, es kam schon mal vor, dass eine Seite über längere Zeit besonders langsam war. Aber dann reichte ein Anruf bei AI und der Support bot von sich aus an, die Seite auf einen anderen Server umzuziehen (ohne Zusatzkosten). Danach war das Problem dann erledigt. Mit dem (bisher) quasi ständig erreichbaren, kompetenten, freundlichen und auch wirkmächtigen Kundendienst bin ich wirklich zufrieden und denke mir dabei, dass das vielleicht etwas damit zu tun hat, dass dort überwiegend "Ossis" beschäftigt sind, vor allem aber, dass der Betreiber selbst ein Ossi ist. Und ich glaube, so manch einer dort hat (transgenerational vererbt) noch das "wir müssen uns gegenseitig helfen, sonst wird das hier nix..." im Hinterkopf.

Bei durchschnittlichen "Wessi"-Supportern finde ich dieses Entgegenkommen und die Hilfsbereitschaft eher selten - sofern der Support überhaupt mit deutschen Muttersprachlern besetzt ist.

Zitat von Indigo66

Steht in unserer Anleitungen.

Habe es für Dich auf erledigt gestellt.

Auch auf die Gefahr hin, dass ich mich hier als "schwer von Begriff" oute: Die genannte Anleitung finde ich einfach nicht, auch nicht via Google Suche, und in den Forenregeln habe ich nach "erledigt" gesucht und nichts gefunden.

Wo bitte finde ich die Anleitung zur Forennutzung?

Zitat von Indigo66

Wenn Du bei Strato bist, dann deaktiviere unter "Sicherheit" den Gästebuch-Spam.

Ich selbst lege meine Webseiten schon seit Jahren nur bei http://www.all-inkl.com an. Aber diese übernommene Seite wird tatsächlich bei Strato gehostet! Danke für diesen Tipp. Da wäre ich nie drauf gekommen - zumal ich Gästebücher meide, wie der Teufel das Weihwasser.

Dieses Erlebnis nehme ich jetzt endgültig zum Anlass, die ganze Domain mit Webseite und Postfächern zu all-inkl umzuziehen. Ich hab' mich einfach schon zu oft über Strato geärgert - insbesondere über deren schwache Serverleistungen. So dauert z. B. ein Akeebabackup dieser Seite bei Strato länger als 15 Minuten. Die gleiche geklonte Testseite bei all-inkl ist dagegen in nur 3 Minuten gebackupt.

***********

Eine Frage: Kann/muss ICH den Beitrag hier als erledigt markieren? Ich finde keine Möglichkeit.

Noch anders: Offenbar hat mein Forefox 86.0 eine Macke.

Mit Google Chrome geht's. Ich glaub' ich spinne ...

Gut's Nächtle!

EDIT: Jetzt versteh' ich gar nix mehr. Hab' mich zu früh gefreut. Der Chrome bringt zwar kein Popup mit "index.php speichern", aber dafür speichert und schließt er auch nicht.

Für heute Nacht reicht's mir!

Hat jemand eine Erklärung für dieses Phänomen?

Wenn folgender Link in der Datenschutzerklärung steht, dann kann ich weder "Speichern", noch "Speichern & Neu", noch "Kopie speichern" oder "Speichern unter" und auch nicht "Schließen".

Chrome: https://support.google.com/chrome/answer/95647?hl=de&hlrm=en

Stattdessen poppt immer ein Fensterchen auf und behauptet:

"Sie möchten folgende Datei öffnen: index.php vom Typ: application/x-httpd-php [...]

Wie soll Firefox mit dieser Datei verfahren?

Dann kann ich den Browsertab nur noch killen, um da wieder raus zukommen.

Nehme ich dagegen den Schwanz weg, also das &hlrm=en, so dass da nur noch steht:

Chrome: https://support.google.com/chrome/answer/95647?hl=de

funktioniert wieder alles ganz normal.

Ich fände es spannend, zu erfahren, womit das zu tun haben könnte. Joomla und Firefox sind auf dem aktuellen Stand.

Diesmal handelt es sich übrigens um einen ganz normalen Joomla-Beitrag, kein K2 ...

EDIT: Zu früh gefreut! Der Beitrag reagiert nicht immer gleich. Jetzt muss ich alle fünf Links rausnehmen, um ihn speichern zu können:

Internet Explorer: https://support.microsoft.com/…rer-delete-manage-cookies

Firefox: https://support.mozilla.org/de…ies-erlauben-und-ablehnen

Chrome: https://support.google.com/chrome/answer/95647?hl=de

Safari: https://support.apple.com/kb/ph21411?locale=de_DE

Opera: http://help.opera.com/Windows/10.20/de/cookies.html

Ich glaube, Joomla hat ein Eigenleben - zumindest das, womit ich mich gerade rumärgere ...

Oh Mann, Re:Later - was würde ich machen, wenn es Dich nicht gäbe!

Ich hatte nicht mehr daran gedacht, dass ein Joomla-Kategorie-Modul ja nicht (unbedingt) auf K2-Kategorien richtig reagiert!

Durch Deinen aufmerksamen gedanklichen Anstoß im "Edit" habe ich jetzt das entsprechende K2-Content-Modul eingesetzt: Damit funktioniert es - sofern ich nicht versuche, alle 4 Kategorien in einem Modul unterzubringen. In diesem Fall kriege ich nicht die gewünschte Sortierreihenfolge hin.

Aber wenn ich 4 einzelne Module (für jede Kategorie eines) untereinandersetze, dann passt es genau!

Mit der Übernahme dieser Webseite habe ich mir etwas angetan!

Der mir unbekannte Erbauer/Gestalter hat es (aus meiner Sicht) unnötig kompliziert/unübersichtlich gemacht - auch wenn ich sein Ergebnis von der Ästhetik her nur bewundern kann. Aber ich hätte kein K2 eingesetzt und auch nicht dieses eigenwillige Template "Landbox", das von seinen Entwicklern bdthemes mittlerweile als "abandoned" gekennzeichnet wurde und das sogar meine custom.css nicht unmittelbar eingreifen lässt, sondern über einen mir nicht ersichtlichen Umweg meine Vorgaben erst wieder in ein eigenes theme.css übernimmt - aber nur, wenn ich auch überall brav "!important" dazu schreibe.

Wenn ich mehr Zeit hätte, würde ich dem Kunden einen kompletten Relaunch empfehlen. Aber da im Seminarmanager jede Menge Coredateien verändert wurden und auch Hikashop etwas merkwürdig reagiert, so dass ich lieber die Finger ganz davon lasse, kommt dieser Vorschlag zur Zeit nicht in Frage.

Damit warte ich, bis Joomla 4 raus ist und vor allem auch der zugehörige Seminarmanager 4. Und dann muss ich dem Kunden noch ausreden, es sowohl im Front- als auch im Backend ganz perfekt haben zu wollen (nach außen hin zumindest. Wie es unter der Haube aussieht, ist ihm mangels technischen Hintergrunds offenbar egal - Hauptsache läuft!) und sich weitgehend mit den Standardfunktionen der Extensions zufrieden zu geben.

Was sich nicht mit Overrides machen lässt, das werde ich - anders als mein Vorgänger - auch nicht in Kerndateien "hinzuppeln".

Ich nutze das Joomla-Modul "Beiträge - Kategorie", um die Titel der Beiträge aus 4 verschiedenen Kategorien zur schnellen Übersicht "was es alles so zu lesen gibt" in der rechten Spalte auf den betreffenden Beitragsseiten vorzustellen.

Grundsätzlich funktioniert das Modul schon, aber es reagiert ziemlich eigenwillig und lügt dabei auch noch; so wirft es z. B. die Beiträge von Kategorie 3 einfach mit denen der Kat. 1 zusammen und behauptet sogar frech, es handele sich bei allen Beiträgen um die Kat 1! Die Kat 2 wird dagegen wieder korrekt separat angezeigt.

Hat jemand eine Idee, wie dieses Modul zur Räson gebracht werden kann?

Herzlichen Dank vorab.

Es gibt eine Lösung - nur macht sie nicht wirklich glücklich!

Sollte hier noch mal jemand die gleiche Frage nach den nicht rausgehenden Kommentarmitteilungen von K2 an die Moderator*innen stellen - hier der Grund: Es gibt diese Funktion bisher noch gar nicht! In den Einstellungen wird etwas vorgegaukelt, was gar nicht da ist! Da muss man nicht weiter suchen! So einfach ist das!

Heute Nachmittag hatte ich einen interessanten Dialog mit einem Admin des Joomlaworks-Support-Teams (leider auf Englisch, wozu ich immer den Google-Translator bemühen muss, weil ich englisch nicht so gut zu Fuß bin). Hier eine sinngemäße Zusammenfassung in Deutscher Sprache:

****************

Admin:

Es ist kein Fehler, dass keine Kommentarbenachrichtigungen rausgehen. Dies wurde einfach bisher noch nicht in K2 implementiert, da die meisten Leute Disqus- oder Facebook-Kommentare für die von ihnen angebotene soziale Integration verwendeten.

Die Berichterstellung ist eine andere Funktion und funktioniert natürlich wie erwartet.

Wie gesagt, es ist noch nicht implementiert.

Ich:

Es handelt es sich um eine seriöse Webseite für Psychoanalytiker - kein "soziales" Netzwerk. Auf keinen Fall sollen irgendwelche Daten über Facebook, Disqus oder einen anderen - überflüssigen - externen Dienst oder gar in die USA abfließen.

Außerdem sollen die Kommentare auch ein seriöses Look and Feel haben und ganz auf Gravatare (oder wie diese lustigen Bildchen heißen) verzichten. Es wird ausschließlich unter Klarnamen kommentiert.

Im großen und ganzen bin ich mit dem seriösen Erscheinungsbild, das mein Vorgänger mit Hilfe von K2 gezaubert hat, recht zufrieden und will unter allen Umständen vermeiden, eines dieser typischen bunten und spielerischen Kommentartools integrieren zu müssen.

Kann ich davon ausgehen, dass die Funktion in K2 bald nachgerüstet wird? Oder kannst Du mir Hinweise geben, wie ich das Reporting-system klonen und zur Benachrichtigung neuer Kommentare umfunktionieren kann? Das kann doch nicht so schwer sein...?

Admin:

Es gibt sicher andere Prioritäten, also kann ich nichts versprechen.

Ein fähiger Entwickler könnte für Sie auf jeden Fall leicht ein Plugin dafür machen, sodass Sie nicht warten müssen, bis diese Funktion verfügbar ist.

Ich:

Ich bin erschüttert über die Selbstverständlichkeit eine Funktion vorzugaukeln, die es noch gar nicht gibt! Gerade stelle ich mir einen Waffenhersteller vor, der es auch nach langer Entwicklungszeit nicht geschafft hat, einen funktionierenden Schlagbolzen in sein Sturmgewehr zu integrieren. Er lässt ihn also bei der Auslieferung einfach erst mal weg ... und die Militärführung fragt sich verzweifelt, woran es bloß liegt, dass die eigenen Leute reihenweise vom Gegner getötet werden. Bis sie dahinter kommt, dass eine zugesicherte Eigenschaft nicht vorhanden ist, ist der Krieg schon verloren.

Um uns K2-Nutzer nicht länger in die Irre zu führen, bitte ich darum, diese Funktion, solange es sie (noch!) nicht gibt, in den Einstellungen auszugrauen bzw. zu deaktivieren. Dann weiß ich wenigstens, dass ich den Moderatorinnen sagen muss, dass sie selbst von Zeit zu Zeit aktiv nachschauen müssen, ob jemand einen Kommentar geschrieben hat. Das geht natürlich auch. Bedienungskomfort ist ja ein verzichtbarer Luxus. Und eine Welt mit 8 Milliarden Menschen muss sich sowieso in Verzicht üben. Geht nicht anders! Es gibt nicht genug Ressourcen ...

****************

Hat sich also vorläufig erledigt: "Geht nich" gibt's eben doch!

Zitat von astrid

Das ist nicht nur schwer, sondern sogar unmöglich. Sogar für Maschinen.

Das der ideale Test nicht berechenbar ist, hat Howden 1977 bewiesen. ( ist beispielsweise hier auf Seite 18 erklärt: st02.pdf (uni-bielefeld.de) )

Seufz!

Zitat von astrid

Ich würde die Overrides löschen, die nicht gebraucht werde.

Das hat den weiteren Vorteil, dass Änderungen in den Layouts der Joomla Core Datein auf deiner greifen. Andernfalls haben die veralteten Overrides Priorität.

Ja, das ist das Ziel, zumal ich schon ein paar Mal zur Kenntnis nehmen musste, dass der Entwickler einer Extension bei einem Funktionsupdate Teile des Cores soweit verändert hatte, dass die Overrides vorn und hinten nicht mehr dazu passten, und dass dann nicht nur die Overrides nicht mehr funktionierten, sondern wichtige Elemente der Extension nicht mehr mitspielten.

Aber das muss ich in aller Ruhe machen, um nichts zu übersehen. Leider habe ich in ähnlichen Lagen schon ein paar mal erlebt, dass nach dem Löschen einer Override-Datei auf den ersten Blick scheinbar alles funktioniert, aber unter ganz bestimmten Umständen klappt dann doch das eine und andere nicht mehr. Das findet man nur mit gründlichen Tests aller (!) möglichen Szenarien heraus.

Aber als Einzelner bei der Testung an Alles zu denken, ist verdammt schwer - insbesondere wenn man gerade nicht weiß, wo einem der Kopf steht, weil der eine und andere Kunde auf Termineinhaltung besteht und sie alle gleichzeitig befriedigt werden wollen. Dieses Jahr beginnt da ein bisschen schwierig.

Zur Zeit kümmere ich mich der Reihe nach nur jeweils um das Dringendste. Hoffentlich liegt meine Einschätzung da richtig ...

Ein Nachtrag:

So ganz "tot" kann die K2-Mailfunktion nicht sein, denn wenn jemand einen Kommentar meldet (z. B. als SPAM), dann kommt diese Benachrichtigung tatsächlich bei den Moderator*innen an.

Seufz!

Mein Problem wurde hier vor mehr als einem Jahr schon mal behandelt und steht dort auf "Erledigt":

K2 Kommentare - Mail Benachrichtigungen funktionieren nicht

Der letzte Rat hier war, dass der TE sich an das joomlaworks.net/forum/k2 wenden sollte. Dann reißt der Thread ab.

Ich habe das auch gemacht. Vielleicht bin ich ja auch nur zu ungeduldig, aber bisher erhielt keine Reaktion im englischsprachigen Forum. Im deutschsprachigen scheint auch nicht viel los zu sein (sehr wenig Mitglieder).

Hat zwischenzeitlich vielleicht hier jemand mehr Erfahrungen mit dem Problem:

"Kommentar hinzugefügt, wartet auf Freigabe."

Hier tritt das Problem auf, dass der Empfänger der Kommentarnachricht (E-Mail-Adresse der Moderator*innen) keine Benachrichtigung erhält, wenn ein Kommentar geschrieben wird.

Was kann der Grund sein? Ich kann keine anderen Einstellungsoptionen finden.

Habe alle Mailfunktionen in der Joomla-Konfiguration durchprobiert: PHP-Mail, Sendmail und Versand via SMTP-Server. K2 bringt einfach keine Email raus. Die Joomla-Testmails jedoch kommen an.

E-Mails von Joomla, Hikashop und anderen Extensions werden problemlos verschickt! Das heißt doch, dass die Mailversandfunktion von K2 entweder tot oder falsch an das Joomla-Mailsystem angebunden ist. Gibt es dafür vielleicht einen Workaround oder einen Hinweis, wo ich selbst eingreifen kann?

K2 version: 2.10.3

Joomla 3.9.24

PHP 7.3

Und mal abgesehen davon: Wie bewertet Ihr eigentlich die K2-Komponente? Ich hab' sie mir nicht ausgesucht, sondern bin damit konfrontiert worden, nachdem ich sie in 10 Joomla-Jahren selbst nicht einmal verbaut hatte.

Zitat von LukasHH

ansonsten kannst Du ja mal schauen, ob es ein Override davon gibt.
...\templates\templatename\html\com_content\category\blog_item.php

ggf. mal umbenennen oder gegen die Core Datei austauschen. In diesem solltest Du was finden von "readmore", was den Weiterlesen-Link betrifft.

Vielen Dank, LukasHH!

Das war die Lösung: Ich habe die entsprechende OverrideDatei jetzt deaktiviert - und es funktioniert!

Und schon wieder hat mich diese Webseite mit einer Neuigkeit überrascht: Bisher (beim Seminarmanager jedenfalls) konnte ich mich darauf verlassen, dass wenn eine Override-Datei wirklich eine Codeänderung hatte, es im selben Verzeichnis auch eine gleichnamige unveränderte Datei mit dem Hinweis ..."orig" am Ende des Dateinamens trug. Bisher habe ich immer nach solchen Dateien gesucht und bin oft fündig geworden.

Jetzt aber stelle ich fest, dass der oder die Erbauer*in der Webseite offenbar alle möglichen Komponenten und Module ins Override-Verzeichnis gepackt hat - sozusagen "auf Verdacht" oder auf Vorrat! Die allermeisten wurden offenbar nicht geändert. Aber jetzt weiß ich, dass ich mich nicht auf das "orig" als Indiz verlassen kann und schlimmstenfalls den ganzen Haufen Dateien durchforsten muss.

Das kann ja noch lustig werden! Vielleicht teste ich einfach mal, nach und nach die Elemente im html-Verzeichnis zu deaktivieren und zu schauen, was dann passiert. Wenn sich nichts (Nennenswertes) ändert, entfällt der entsprechende Override. Ich bin sicher, dass viele Sperenzchen hier verzichtbar sind, ohne dass die Nutzer der Webseite etwas davon merken.

*************

Indigo66 : Es handelt sich bei der Seite tatsächlich um einen Kategorie-Blog. Und die Weiterlesen-Links sind erforderlich, weil die eigentlichen Artikel oft ziemlich lang sind. Der Nutzer sollzunächst eine schnelle Übersicht erhalten, ohne endlos lang scrollen oder wischen zu müssen.

Hallo, liebe Joomla-Expert*innen!

Vor kurzem habe ich eine Webseite zur Betreuung übernommen, bei deren Erstellung vor einigen Jahren sich jemand richtig viel Arbeit gemacht und viele Ansichten sowie Funktionen sehr individuell angepasst hat. Die meisten Anpassungen betreffen den Seminarmanager, der aber hier auf der Testseite ausgeblendet ist und hier auch nicht zur Debatte steht.

Auf der Seite soll es künftigzwei verschiedene Textbereiche geben: Einen mit "normalen" Joomla-Artikeln, die keine Kommentarfunktion haben und einen mit kommentierbaren Blog-Artikeln, die auch verschlagwortet sein sollen.

Letzteres (also das Kompliziertere) funktioniert mit Hilfe von K2 - genau so wie es soll: Kommentare sind möglich, Kommentarzahl und Schlagworte werden in der Blog-Übersicht und im eigentlichen Artikel korrekt angezeigt. Und auch der Weiterlesen-Link erscheint!

Aber um's Verrecken werden die Weiterlesen-Links in den normalen Joomla-Artikeln nicht angezeigt, obwohl sie an allen nur denkbaren Stellen aktiviert und in den Artikeln auch gesetzt sind. Mit Hilfe von Filelocator habe ich mittlerweile diverse php- und css-Dateien durchforstet, finde aber keine dafür verantwortliche Stelle.

Wenn die K2-Ansicht nicht so angepasst wäre, könnte man einfach eine zweite K2-Kategorie eröffnen und diese ohne Kommentarfunktion und Schlagworten konfigurieren. Leider hat der Kunde spezielle Wünsche, die ich nur mit Overrides realisieren konnte - und die wirken sich jetzt leider auf alle K2-Kategorien aus.

Ich wäre sehr dankbar, wenn hier jemand einen Blick darauf werfen und mir vielleicht Tipps geben könnte. Die Testinstallation liegt z. Z. unter:

https://cgjkoeln2.trans4media.de

Der Menüpunkt "K2-Test-okay" funktioniert wie er soll.

Der Menüpunkt "Joomla-Weiterlesenlink fehlt" nicht - und ich finde den Fehlerteufel nicht.

Joomla 3.9.24, PHP 7.3, Template "Landbox" mit "WARP-Framework" von http://www.bdthemes.com. Sorry, bei dem Template kann ich nur die Augen verdrehen, weil ich mich seit Jahren auf die ganz anders gestrickten RS-Templates spezialisiert hab'. Der Einfachheit halber (um mich mit dem Template nicht auseinandersetzen zu müssen) mache ich alle Eingriffe nur über die custom.css.

Zitat von Sieger66

Meiner Meinung nach ist derlei vor allem Schlangenöl siehe z.B. auch:

https://www.joomla.de/wissen/j…1x1-der-joomla-sicherheit

Mag sein. Aber so wie ich davon überzeugt bin, dass auch der sog. Placeboeffekt eine echte selbstheilende Wirkung auslöst - wenn man an ihn glaubt, so nutze ich auch das "Schlangenöl" namens "Norton Security" seit schätzungsweise etwa 20 Jahren auf allen Rechnern und die RSFirewall auf allen Webseiten. Und da, wo sie nicht integrierbar ist, also Nicht-Joomla und Nicht-WP, weiche ich auf die Standalone-Firewall Ninjaproplus (Nintech) aus.

Hier in meinem Homeoffice bin ich gerade dabei, den nächsten Schritt zu gehen und arbeite mich in eine "Next-Gen-Hardware-Firewall" von Lancom ein. Ich war immer schon ein Bekloppter und zugleich Sicherheitsfanatiker und stehe dazu.

Es kann ja sein, dass mir und meinen Webseiten auch ohne den ganzen Krempel in den 20 Jahren nichts Böses passiert wäre. Da ich das aber nicht wissen kann, halte ich mich an die zugegeben wirklich primitive Regel "Was miteinander korreliert, hat oft auch einen Kausalzusammenhang - zumindest aber einen sinngemäßen." Also: Sicherheitssysteme installiert => Nix is passiert die ganze Zeit => Sicherheitsmechanismen funzen! Und da - mal abgesehen von meinem neuesten Ausflug in die Welt der hochsicheren Hardware-Firewalls - weder Norton Security noch RSFirewall mich bisher ernsthaft arm gemacht haben, bleibe ich dabei. an irgendetwas MUSS man doch glauben, wenn man schon den Weltreligionen abgeschworen hat ...

Ich schätze ja bereits den Aufmerksamkeitseffekt, den die Firewalls mit ihren Emailbenachrichtigungen bei mir auslösen. Sie lassen mich wachsam bleiben.

Hier ein Gegenbeispiel: Jahrelang hatte ich eine Gesellschaft mit ihrer Joomla-Webseite betreut. Nichts Böses ist passiert. Dann hat sich der Kunde von WP begeistern lassen und ich bin (auf meine alten Tage) sofort ausgestiegen. Noch ein CMS tu' ich mir mit 70 nicht mehr an, denn mit 80 werde ich mich wohl zur Ruhe setzen. Da lohnt sich der Aufwand nicht mehr. Also hat eine andere Agentur den Auftrag bekommen, die wohl auch eher vom Schlangenöl überzeugt war.

Aber es hat nicht lange gedauert, und der Webprovider machte den Kunden zweimal innerhalb weniger Monate darauf aufmerksam, dass sich kritische Dateien auf dem Webspace befinden, die schnellstens entfernt werden müssen. Solche Nachrichten kannte ich bis dahin gar nicht. Also ist mein Credo: Schlangenöl hin, Schlangenöl her: Hauptsache schön glitschig und flutschig! (Hab' ich in jüngeren Jahren mal beim Tantra gelernt .)

Zitat von Re:Later

Man muss dazu wissen, dass der Seminarmanager ab Version 3 kostenpflichtig wurde. Daher dümpeln noch einige 2-er im Netz. (Unabhängig von der Tatsache, dass TE noch dazu eine bereits gehackte Version verwendet, so nenne ich das zumindest, die nicht geupdatet werden kann/darf/whatever.).

Sicherheits-Updates gab es auch für den SM in den letzten x Jahren immer mal.

Es ist stocksimpel für einen Hacker-Bot zu ermitteln, ob Seminarmanger überhaupt installiert ist bzw. auf eine harmlose Anfrage "reagiert". Wenn ja und wenn irgendwelche Vulnerabilitäten bekannt sind, egal, ob lange im Core gefixt, ballert man halt erweiterungsspezifisch weiter. Mal sofort, mal etwas später, mal forciert, mal dezent. Andere Bots ballern nur auf gut Glück vor sich hin.

Da hilft dann nur ein intensives Studium der Server-Access-Logs, die natürlich ausreichend vorliegen müssen, um die Linie des/der Bots zu erforschen.

Alles anzeigen

Wie schon gesagt: Der SM ist nicht aktuell 2.13.5. Man konnte die auch schon als kostenpflichtige "Pro"-Version erhalten, und für diesen umfassenden Hack (in 29 PHP-, 2 CSS- und 2 XML-Dateien) wird der Kunde damals sicher ein Heidengeld bezahlt haben.

*****************

Ich finde, die detaillierten Systemprotokolle der RSFirewall sind da schon sehr aussagekräftig.

Na, dann lass' ich ihn mal weiterballern und schau mal, was noch so alles passiert. Nervös würde ich dann werden, wenn die Firewall das Etikett "Kritisch" davorsetzt ...

Zitat von Elwood

Also auf deiner (Kunden-) Seite?

Denn der Seminarmanager ist ja aktuell (3.2.1.0 vom 15.01.2021)

Nein, es ist dort noch die 2.13.5. von März 2018.

Ich betreue ungefähr 20 Webseiten. Deren RSFirewalls melden mir zuverlässig alle gemeinen Versuche per Email. Ja, 99,x% davon kommen von Bots. Das sind die sog. "Gießkannenangriffe". Meist sind dann in zeitlich engem Zusammenhang praktisch alle Webseiten davon betroffen. Die in der Sache gleichen Angriffe kommen von unterschiedlichen IP-Adressen und sind unspezifisch bzw. versuchen, ins Backend einzudringen (mit äußerst primitiven Passwörtern).

Hier in diesem Fall aber ist das anders: 1.) wird die Injektion immer im Zusammenhang mit dem Seminarmanager versucht. 2.) Ist genau dieser Seminarmanager die vulnerabelste Erweiterung in dieser Webseite, weil sie seit 3 Jahren nicht upgedatet wurde. 3.) Kommen die Angriffe blockweise immer von derselben IP. 4.) Zur Zeit ist keine meiner anderen Webseiten von diesem speziellen Angriff - oder überhaupt so massiv - bedroht. Eigentlich ist allgemein betrachtet z. Z. sogar ziemliche Ruhe an der Hackerfront.

Mein Verdacht: Jemand, der intime Kenntnis davon hat, was mit dem hier speziell programmierten Seminarmanager los ist, versucht, den Betreibern bzw. mir als neuem Dienstleister, Knüppel zwischen die Beine zu werfen. Vielleicht weil er verärgert ist, denn in diesem Zusammenhang wurden im Lauf des letzten Jahres mehrere Verträge im Bereich der IT gekündigt und ein Verantwortlicher beim Betreiber - nicht einvernehmlich - "ausgeschieden". Im Gegensatz zu meinen anderen Installationen/Kunden, kann ich mir vorstellen, dass es da möglicherweise "Böses Blut" gibt.

Übrigens hat die RSFirewall (seit vielen Jahren) eine beruhigende Wirkung auf mich - nachdem ich im ersten Jahr natürlich auch immer erschrocken war. Aber man gewöhnt sich daran. Aber so sehe ich zuverlässig, ob eine der Webseiten zur Zeit besonders auf dem Kieker von irgendwem ist oder ob er nur im ganzen Internet "herumfuhrwerkt" - und vor allem sehe ich, ob die Eindringversuche ins Backend Kinderkacke oder ernstzunehmen sind - z. B. weil die Passwortversuche recht nahe an der Realität dran sind. Letzteres ist aber in den letzten 8 Jahren nur zweimal passiert. In solchen Fällen mache ich den Kunden darauf aufmerksam. Einer der beiden hatte tatsächlich eine plausible Erklärung dafür, denn er wurde zeitgleich auch in der realen Welt von einem unliebsamen Zeitgenossen "genötigt".

Früher wollte ich es nie wahrhaben, aber seit der Beschäftigung mit Web & Co ist mir klar: "Der Mensch ist durch und durch böse! Und wenn er das mal nicht ist, dann nur deshalb, weil er sich nicht traut, böse zu sein. Dann setzt er sich die Maske des Guten auf."

Ja, ich stehe zu meiner Paranoia, denn in einer vom Wahnsinn regierten Welt ist gesunde Paranoia überlebenswichtig. Paranoia hilft mir, nie nachlässig zu reagieren - eher übervorsichtig. Aber damit bin ich bisher gut gefahren.

Vielen Dank für Dein Statement.

Traust Du dem Plugin von Woltlab "Antispam Extended" diesbezüglich nicht so viel zu?

Hallo Re:Later,

vielen Dank für Deine Tipps!

Im Gegensatz zu Dir bin ich kein Profi in Sachen "eigene Scripte / eigene Plugins" schreiben. Meine PHP-Kenntnisse reichen nur dazu, bestehende Scripte zu analysieren, abzuändern und in beschränktem Maß zu erweitern. Aber flüssig codieren kann ich nicht.

Demnächst soll ja die Version 4 erscheinen. Für diese hatte bereits die OSG-GmbH (möge sie irgendwer selig haben) erhebliche Erweiterungen angekündigt, nachdem sie jahrelang meine Kundenwünsche hinsichtlich grundsätzlicher/allgemeiner Flexibilisierung ignoriert hat. Dafür kam immer wieder der Hinweis, dass sie natürlich jederzeit gern spezielle Kundenprogrammierungen durchführen. Genau das hat mein Vorgänger, der vor etlichen Jahren mit großem Engagement daran gegangen war, offenbar in Anspruch genommen - aber weil ihn dann vermutlich die Kosten abgeschreckt hatten, wurden 3 Jahre lang keine Updates mehr vorgenommen. Die hätten ja auch immer wieder von OSG-GmbH individuell angepasst werden müssen.

Ich bin wirklich gespannt, wie die Schweizer Webtribute GmbH jetzt mit dem Seminarmanager umgehen wird und will abwarten, was sie in Version 4 bereits standardmäßig integriert. Schon der Sprung von V2 auf V3 brachte so viele Codeänderungen mit sich, dass ich die (für V2 geschriebenen) geänderten Kerndateien nicht mehr ohne erhebliche Nacharbeit - inklusive aufwendiger detektivischer Suche nach den geänderten Zeilen - weiternutzen könnte. Einiges, was unter V2 noch mit Plugins gamacht wurde, ist ja schon in V3 bereits in der Komponente enthalten.

Etwas Ähnliches (bzw. noch deutlich mehr Codeänderungen) erwarte ich jetzt für V4.

Mit dem Kunden bin ich bereits im Gespräch in Sachen "back to the roots", d. h. weitgehend zurück zu den Standardfunktionen. Dafür ist er durchaus aufgeschlossen. Vielleicht lässt sich das seit 3 Jahren bestehende "Updateverhinderungsproblem" ja durch die Kombination von beidem (V4 in Tateinheit mit Verzicht auf etwas Komfort - bzw. mit etwas mehr manueller Arbeit beim Verwalten und Verbuchen) lösen.

Nebenbei eine Frage - wenn ich darf: Seit ich die Betreuung übernommen habe, attackiert irgendein unfreundlicher Mensch (ich vermute kein Bot) regelmäßig die betroffene Webseite und dort den Seminarmanager. Kannst Du ganz grob erkennen, was damit wohl bezweckt werden soll? Solche bzw. sehr ähnliche Attacken hatte ich in den letzten 2 Wochen mehrere hundert Mal. Glücklicherweise ist da die RSFirewall sehr aufmerksam.