Beiträge von Kallle

Zitat von Sieger66

Meiner Meinung nach ist derlei vor allem Schlangenöl siehe z.B. auch:

https://www.joomla.de/wissen/j…1x1-der-joomla-sicherheit

Mag sein. Aber so wie ich davon überzeugt bin, dass auch der sog. Placeboeffekt eine echte selbstheilende Wirkung auslöst - wenn man an ihn glaubt, so nutze ich auch das "Schlangenöl" namens "Norton Security" seit schätzungsweise etwa 20 Jahren auf allen Rechnern und die RSFirewall auf allen Webseiten. Und da, wo sie nicht integrierbar ist, also Nicht-Joomla und Nicht-WP, weiche ich auf die Standalone-Firewall Ninjaproplus (Nintech) aus.

Hier in meinem Homeoffice bin ich gerade dabei, den nächsten Schritt zu gehen und arbeite mich in eine "Next-Gen-Hardware-Firewall" von Lancom ein. Ich war immer schon ein Bekloppter und zugleich Sicherheitsfanatiker und stehe dazu.

Es kann ja sein, dass mir und meinen Webseiten auch ohne den ganzen Krempel in den 20 Jahren nichts Böses passiert wäre. Da ich das aber nicht wissen kann, halte ich mich an die zugegeben wirklich primitive Regel "Was miteinander korreliert, hat oft auch einen Kausalzusammenhang - zumindest aber einen sinngemäßen." Also: Sicherheitssysteme installiert => Nix is passiert die ganze Zeit => Sicherheitsmechanismen funzen! Und da - mal abgesehen von meinem neuesten Ausflug in die Welt der hochsicheren Hardware-Firewalls - weder Norton Security noch RSFirewall mich bisher ernsthaft arm gemacht haben, bleibe ich dabei. an irgendetwas MUSS man doch glauben, wenn man schon den Weltreligionen abgeschworen hat ...

Ich schätze ja bereits den Aufmerksamkeitseffekt, den die Firewalls mit ihren Emailbenachrichtigungen bei mir auslösen. Sie lassen mich wachsam bleiben.

Hier ein Gegenbeispiel: Jahrelang hatte ich eine Gesellschaft mit ihrer Joomla-Webseite betreut. Nichts Böses ist passiert. Dann hat sich der Kunde von WP begeistern lassen und ich bin (auf meine alten Tage) sofort ausgestiegen. Noch ein CMS tu' ich mir mit 70 nicht mehr an, denn mit 80 werde ich mich wohl zur Ruhe setzen. Da lohnt sich der Aufwand nicht mehr. Also hat eine andere Agentur den Auftrag bekommen, die wohl auch eher vom Schlangenöl überzeugt war.

Aber es hat nicht lange gedauert, und der Webprovider machte den Kunden zweimal innerhalb weniger Monate darauf aufmerksam, dass sich kritische Dateien auf dem Webspace befinden, die schnellstens entfernt werden müssen. Solche Nachrichten kannte ich bis dahin gar nicht. Also ist mein Credo: Schlangenöl hin, Schlangenöl her: Hauptsache schön glitschig und flutschig! (Hab' ich in jüngeren Jahren mal beim Tantra gelernt .)

Zitat von Re:Later

Man muss dazu wissen, dass der Seminarmanager ab Version 3 kostenpflichtig wurde. Daher dümpeln noch einige 2-er im Netz. (Unabhängig von der Tatsache, dass TE noch dazu eine bereits gehackte Version verwendet, so nenne ich das zumindest, die nicht geupdatet werden kann/darf/whatever.).

Sicherheits-Updates gab es auch für den SM in den letzten x Jahren immer mal.

Es ist stocksimpel für einen Hacker-Bot zu ermitteln, ob Seminarmanger überhaupt installiert ist bzw. auf eine harmlose Anfrage "reagiert". Wenn ja und wenn irgendwelche Vulnerabilitäten bekannt sind, egal, ob lange im Core gefixt, ballert man halt erweiterungsspezifisch weiter. Mal sofort, mal etwas später, mal forciert, mal dezent. Andere Bots ballern nur auf gut Glück vor sich hin.

Da hilft dann nur ein intensives Studium der Server-Access-Logs, die natürlich ausreichend vorliegen müssen, um die Linie des/der Bots zu erforschen.

Alles anzeigen

Wie schon gesagt: Der SM ist nicht aktuell 2.13.5. Man konnte die auch schon als kostenpflichtige "Pro"-Version erhalten, und für diesen umfassenden Hack (in 29 PHP-, 2 CSS- und 2 XML-Dateien) wird der Kunde damals sicher ein Heidengeld bezahlt haben.

*****************

Ich finde, die detaillierten Systemprotokolle der RSFirewall sind da schon sehr aussagekräftig.

Na, dann lass' ich ihn mal weiterballern und schau mal, was noch so alles passiert. Nervös würde ich dann werden, wenn die Firewall das Etikett "Kritisch" davorsetzt ...

Zitat von Elwood

Also auf deiner (Kunden-) Seite?

Denn der Seminarmanager ist ja aktuell (3.2.1.0 vom 15.01.2021)

Nein, es ist dort noch die 2.13.5. von März 2018.

Ich betreue ungefähr 20 Webseiten. Deren RSFirewalls melden mir zuverlässig alle gemeinen Versuche per Email. Ja, 99,x% davon kommen von Bots. Das sind die sog. "Gießkannenangriffe". Meist sind dann in zeitlich engem Zusammenhang praktisch alle Webseiten davon betroffen. Die in der Sache gleichen Angriffe kommen von unterschiedlichen IP-Adressen und sind unspezifisch bzw. versuchen, ins Backend einzudringen (mit äußerst primitiven Passwörtern).

Hier in diesem Fall aber ist das anders: 1.) wird die Injektion immer im Zusammenhang mit dem Seminarmanager versucht. 2.) Ist genau dieser Seminarmanager die vulnerabelste Erweiterung in dieser Webseite, weil sie seit 3 Jahren nicht upgedatet wurde. 3.) Kommen die Angriffe blockweise immer von derselben IP. 4.) Zur Zeit ist keine meiner anderen Webseiten von diesem speziellen Angriff - oder überhaupt so massiv - bedroht. Eigentlich ist allgemein betrachtet z. Z. sogar ziemliche Ruhe an der Hackerfront.

Mein Verdacht: Jemand, der intime Kenntnis davon hat, was mit dem hier speziell programmierten Seminarmanager los ist, versucht, den Betreibern bzw. mir als neuem Dienstleister, Knüppel zwischen die Beine zu werfen. Vielleicht weil er verärgert ist, denn in diesem Zusammenhang wurden im Lauf des letzten Jahres mehrere Verträge im Bereich der IT gekündigt und ein Verantwortlicher beim Betreiber - nicht einvernehmlich - "ausgeschieden". Im Gegensatz zu meinen anderen Installationen/Kunden, kann ich mir vorstellen, dass es da möglicherweise "Böses Blut" gibt.

Übrigens hat die RSFirewall (seit vielen Jahren) eine beruhigende Wirkung auf mich - nachdem ich im ersten Jahr natürlich auch immer erschrocken war. Aber man gewöhnt sich daran. Aber so sehe ich zuverlässig, ob eine der Webseiten zur Zeit besonders auf dem Kieker von irgendwem ist oder ob er nur im ganzen Internet "herumfuhrwerkt" - und vor allem sehe ich, ob die Eindringversuche ins Backend Kinderkacke oder ernstzunehmen sind - z. B. weil die Passwortversuche recht nahe an der Realität dran sind. Letzteres ist aber in den letzten 8 Jahren nur zweimal passiert. In solchen Fällen mache ich den Kunden darauf aufmerksam. Einer der beiden hatte tatsächlich eine plausible Erklärung dafür, denn er wurde zeitgleich auch in der realen Welt von einem unliebsamen Zeitgenossen "genötigt".

Früher wollte ich es nie wahrhaben, aber seit der Beschäftigung mit Web & Co ist mir klar: "Der Mensch ist durch und durch böse! Und wenn er das mal nicht ist, dann nur deshalb, weil er sich nicht traut, böse zu sein. Dann setzt er sich die Maske des Guten auf."

Ja, ich stehe zu meiner Paranoia, denn in einer vom Wahnsinn regierten Welt ist gesunde Paranoia überlebenswichtig. Paranoia hilft mir, nie nachlässig zu reagieren - eher übervorsichtig. Aber damit bin ich bisher gut gefahren.

Vielen Dank für Dein Statement.

Traust Du dem Plugin von Woltlab "Antispam Extended" diesbezüglich nicht so viel zu?

Hallo Re:Later,

vielen Dank für Deine Tipps!

Im Gegensatz zu Dir bin ich kein Profi in Sachen "eigene Scripte / eigene Plugins" schreiben. Meine PHP-Kenntnisse reichen nur dazu, bestehende Scripte zu analysieren, abzuändern und in beschränktem Maß zu erweitern. Aber flüssig codieren kann ich nicht.

Demnächst soll ja die Version 4 erscheinen. Für diese hatte bereits die OSG-GmbH (möge sie irgendwer selig haben) erhebliche Erweiterungen angekündigt, nachdem sie jahrelang meine Kundenwünsche hinsichtlich grundsätzlicher/allgemeiner Flexibilisierung ignoriert hat. Dafür kam immer wieder der Hinweis, dass sie natürlich jederzeit gern spezielle Kundenprogrammierungen durchführen. Genau das hat mein Vorgänger, der vor etlichen Jahren mit großem Engagement daran gegangen war, offenbar in Anspruch genommen - aber weil ihn dann vermutlich die Kosten abgeschreckt hatten, wurden 3 Jahre lang keine Updates mehr vorgenommen. Die hätten ja auch immer wieder von OSG-GmbH individuell angepasst werden müssen.

Ich bin wirklich gespannt, wie die Schweizer Webtribute GmbH jetzt mit dem Seminarmanager umgehen wird und will abwarten, was sie in Version 4 bereits standardmäßig integriert. Schon der Sprung von V2 auf V3 brachte so viele Codeänderungen mit sich, dass ich die (für V2 geschriebenen) geänderten Kerndateien nicht mehr ohne erhebliche Nacharbeit - inklusive aufwendiger detektivischer Suche nach den geänderten Zeilen - weiternutzen könnte. Einiges, was unter V2 noch mit Plugins gamacht wurde, ist ja schon in V3 bereits in der Komponente enthalten.

Etwas Ähnliches (bzw. noch deutlich mehr Codeänderungen) erwarte ich jetzt für V4.

Mit dem Kunden bin ich bereits im Gespräch in Sachen "back to the roots", d. h. weitgehend zurück zu den Standardfunktionen. Dafür ist er durchaus aufgeschlossen. Vielleicht lässt sich das seit 3 Jahren bestehende "Updateverhinderungsproblem" ja durch die Kombination von beidem (V4 in Tateinheit mit Verzicht auf etwas Komfort - bzw. mit etwas mehr manueller Arbeit beim Verwalten und Verbuchen) lösen.

Nebenbei eine Frage - wenn ich darf: Seit ich die Betreuung übernommen habe, attackiert irgendein unfreundlicher Mensch (ich vermute kein Bot) regelmäßig die betroffene Webseite und dort den Seminarmanager. Kannst Du ganz grob erkennen, was damit wohl bezweckt werden soll? Solche bzw. sehr ähnliche Attacken hatte ich in den letzten 2 Wochen mehrere hundert Mal. Glücklicherweise ist da die RSFirewall sehr aufmerksam.

Kurz, knapp und knackig!

Vielen Dank!

Um den "Seminarmanager" (der erst kürzlich von der deutschen "OSG GmbH" an die Schweizer "Webtribute GmbH" übergeben wurde) an spezielle Kundenwünsche anzupassen, zu erweitern und flexibler zu gestalten, die im Wesentlichen das Backend betreffen ( Zusatzfunktionen und Tabellenerweiterungen für Kurse und Buchungen), möchte ich Overrides im Backend (ISIS) erstellen.

Ein kleiner Teil der für das Backend verantwortlichen Dateien wird unter Template ISIS zum overriden angeboten. Da aber nicht nur das Aussehen angepasst werden soll, sondern auch etliche Funktionen hinzugebaut oder geändert werden sollen, müsste ich auch an Dateien heran, die nicht von vornherein als Override-Dateien angeboten werden.

Entscheidet eigentlich der Entwickler, was overridet werden können soll, oder macht das Joomla automatisch?

Mein im Unfrieden ausgeschiedener Vorgänger hatte sich vor etlichen Jahren ein richtig komfortables Backend ausgedacht. Das war wohl zugleich sein Hobby oder Baby. Aber dazu hat er leider gnadenlos in 29 verschiedene Coredateien eingegriffen - natürlich ohne die Stellen mit geändertem Code zu kennzeichnen und schnell auffindbar zu machen. Er hat sie in den Dateien gar nicht gekennzeichnet. Dass er Veränderungen vorgenommen hat, erkenne ich daran, dass er sich wenigstens konsequent daran gehalten hat, zusätzlich zur jeweils geänderten Coredatei eine gleichnamige "orig"- und eine "angepasst"- Datei erstellt und in den Verzeichnissen abgelegt hat.

Natürlich können diese angepassten Coredateien der Version 2 nach 3 Jahren ohne Update nicht einfach wieder an die Stelle der demnächst neuen Dateien der Seminarmanager-Version 4 gesetzt werden. Dafür wird sich viel zu viel im Code geändert haben.

Ich will von dem ganzen Coregedöns komplett weg und nur noch das anpassen, was sich mittels Overrides anpassen lässt. Bei allem anderen muss die Geschäftsstelle dann in Zukunft auf so manche Komfortfunktion verzichten und sich mit dem Standard zufrieden geben. Das wird dann zwar etwas weniger elegant und vielleicht etwas umständlicher, aber dafür sind dann wieder regelmäßige Standard-Updates möglich.

Liebe Forenbetreiber,

Ihr habt Euch gegen Kunena und für ein Woltlab-Forum entschieden. Ihr werdet Eure Gründe gehabt haben: Darf ich fragen, was den Ausschlag gegeben hat - und wie Eure (administrative) Zufriedenheit mit diesem Forensystem ist?

Nachdem auch ein Kunde von mir mit dem Erscheinungsbild von Kunena einfach nicht zufrieden ist und eine "richtig elegante Lösung" im Original-Style seiner Webseite sucht, möchte ich ihm ebenfalls Woltlab empfehlen.

Meine Fragen: Ist das hier der Woltlab-Standard-Style, den Ihr lediglich farblich an Eure Vorstellungen angepasst habt? Oder ist dies schon ein spezieller Style?

Habt Ihr bestimmte Plugins bzw. Hacks integriert?

Ich nehme an, Ihr habt die Einmal-Kaufversion auf einem eigenen Server installiert oder habt Ihr Euch für das Abomodell "managed Hosting" entschieden?

Herzliche Grüße

Hallo Christine,

offenbar ist das jetzt ein Phänomen, das erstmalig bei Joomla 3.9.24 auftritt. Gerade hatte ich es auch auf einer anderen Webseite. Dort aber nur 1 Warnung.

Vielen Dank für Deinen Tipp. Ich werde es prüfen, wenn ich aus meinem derzeitigen Aufgabenberg wieder raus bin, der mich zu ertränken droht ...

Zum ersten Mal (in 10 Jahren Joomla) erhalte ich jetzt beim Update einer kürzlich übernommenen Kundeninstallation (die sehr speziell individualisiert wurde und mir keine Freude bereitet) auf Joomla 3.9.24 folgende Warnungen:

Warnung

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „mod_privacy_dashboard“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_captcha_recaptcha_invisible“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_fields_repeatable“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_actionlogs“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_consents“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_contact“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „mod_latestactions“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_content“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_message“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_privacy_user“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_quickicon_privacycheck“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_system_logrotation“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_system_privacyconsent“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „plg_user_terms“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „beez3“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „protostar“ ist noch nicht installiert.

Aktualisierung des Manifest-Caches fehlgeschlagen: Die Erweiterung „hathor“ ist noch nicht installiert.

Nach Neuladen des Backends sind diese Warnungen aber verschwunden und es wird die Version 3.9.24 angezeigt. Heißt das, ich kann diese Warnungen einfach ignorieren? Anfangen kann ich damit nämlich nichts. Hat sich Joomla da nur vorübergehend verschluckt und dann den Bissen doch runtergewürgt? Oder muss ich jetzt etwas Bestimmtes unternehmen, wie z. B. ein heruntergeladenes Joomla-Paket 3.9.24 noch mal drüberbügeln?

Zitat von LukasHH

Die Override-Dateien bleiben bestehen. Daher sollte man diese auch öfter mal prüfen und ggf. aktualisieren.

Hast Du denn ggf. noch weitere Overrides oder andere Änderungen vorgenommen?

Das Formular im FE zur Bearbeitung des eigenen Profil ist unter "com_users\profile\edit.php" aber hier wird eigentlich nichts an den Attributen wie dieses readonly verändert.

Ja, es gibt diverse andere Overrides, aber da geht es nirgendwo um "readonly". (Ich suche in solchen Fällen mit Hilfe von Filelocator Pro nach Stichworten, Anweisungen bzw. nach meinem Namenskürzel, das ich zu jedem Eingriff hineinkommentiere).

Die o. g. edit.php ist gänzlich unangetastet.

Das Thema muss jetzt ein bisschen warten, andere Aufgaben sind dringender, denn merkwürdigerweise haben sich (alle) meine Kund*innen wohl untereinander abgesprochen, mir gerade zum Jahresende noch Zusatz- bzw. Änderungswünsche in ihren Webseiten zu übermitteln, die möglichst rasch umgesetzt sein sollen bzw. müssen. Ich weiß gerade nicht, wo mir der Kopf steht und beginne, Routinesachen komplett zu vergessen - z. B. gestern, das Ausräumen der Waschmaschine und Trocknen der Wäsche. Ich bin aber sicher, dass es noch kein Altersheimer ist ...

Allen hier im Forum ein gutes und gesundes Neues Jahr wünscht

Kallle

Zitat von LukasHH

Wenn ich das auf dem Screenshot richtig erkenne, ist das Feld Benutzername ebenfalls gesperrt. Oder wird es farblich hinterlegt, wenn das Feld aktiv (also der Curser darin) ist?

Letzteres trifft zu. Da ist kein Feld gesperrt.

Zitat

Was sagt die Konsole zu dem Feld?

Dort müsste sich das readonly befinden. Gibt es Fehler in der Konsole?

Hast Du noch anderweitige Plugins aktiv?

Fehler nicht, aber auch kein readonly.

Das Merkwürdige ist aber, ich habe vor 2 Jahren eine Anmerkung in eine Textdatei geschrieben, dass ich die "readonly-Anweisung (Zeile 130) aus media.php entfernt" habe (in administrator/templates/isis/html/layouts/joomla/form/field/), und ich erinnere mich auch, dass ich sie tatsächlich entfernt hatte, um im "OSG-Seminarmanager" svg-Grafiken einfügen zu können. Das ging nur über ein ehemaliges "readonly"-Feld, das nicht mehr readonly sein durfte.

Seltsamerweise ist aber die Zeile 130 immer noch (oder wieder?) enthalten! D. h. meine Notiz stimmt nicht (mehr). Hier bin ich etwas ratlos. Und wenn ich die o.g. Override-Datei mit der heutigen originalen Kerndatei vergleiche, so wurde letztere zwischenzeitlich mächtig verändert/erweitert. Ich frage mich, ob in solchen Fällen alte Overridedateien korrekt wirksam bleiben, wenn die Joomla-Version fortschreitet - was ja der eigentliche Sinn von Overrides ist.

Zitat

Dass bei mir das Feld "Name" nicht angezeigt wird, liegt an einem Override, welches ich eingebaut habe. Der Name wird bei mir aus den Feldern Vorname und Nachname automatisch erzeugt. https://www.j-over.de/de/templ…tzer-mit-vorname-nachname

Danke für diesen Hinweis und den Link zu dieser Seite. Mir fehlt in der Benutzerverwaltung außer den Feldern Vorname und Name auch noch Anrede und Titel. Ideal wäre es, wenn alle 4 Komponenten im ursprünglichen Namensfeld zusammengeführt werden, weil sie von dort aus in Seminarzertifikate übernommen werden.

Aber das gehört jetzt hier nicht hin. Du hast mir nur die Anregung dazu gegeben. Darum kümmere ich mich, wenn ich mal etwas Luft habe. Aber vielen Dank dafür!

Zitat

Das Feld "Name" hat auch nichts mit dem "Benutzername" zu tun. Nicht dass Du diese beiden verwechselst.

Das ist mir klar, Joomla bietet ja auch nur an, den "Namen" unveränderbar zu machen. Der Nutzername kann immer geändert werden, wie auch die anderen Personenfelder.

Ich nutze immer die aktuelle Version. Z.Z. 3.9.23. Und so sieht es bei mir aus, wenn sich ein Registrierter angemeldet hat (für die verschiedenen Nutzergruppen nutze ich zum Testen Fakeuser wie Rudolf Register, Adele Admin, Ingrid Intern und was es sonst noch so gibt.

Im Backend natürlich als Superuser. Okay, für den geht es immer. Verstanden.

Aber leider geht es auch im Frontend - auch wenn ich nur als Registrierter angemeldet bin. Registrierte haben hier nur EIN Recht: Inhalt eigener Felder bearbeiten. Aber selbst, wenn ich ihm auch das Recht noch nehme, kann er sein Profil einschl. des Namens bearbeiten!

Ja, das hat geklappt!

Leider stoße ich dabei auf ein neues Phänomen: Obwohl "Benutzername veränderbar" auf "NEIN" steht, kann ich ihn sowohl im Backend als auch im Frontend verändern und abspeichern. Es sieht so aus, als ob dieser Button unwirksam ist.

Danke auch Dir, Elwood!

Vielen Dank für Deine Tipps, LukasHH!

Heute wurde ich von Änderungswünschen erschlagen - wahrscheinlich weil viele Leute "zwischen den Jahren" so viel Zeit zum Nachdenken und Asprobieren haben. Wahrscheinlich komme ich erst nach MItternacht zu diesem Eingriff.

Wie kann ich das (editierbare) Nutzerprofil im Frontend so ändern, dass nicht auch die "Basiseinstellungen" und der "DPCalendar" etc. angezeigt werden, sondern nur die Personendaten bis zu "Email"? Für einen Tipp wäre ich dankbar.

Noch eine Frage: Ich stelle fest, dass bisher nur Admins auf das Nutzerprofil im Frontend zugreifen können. Wo muss ich welche Berechtigung ändern, damit dies auch Registrierten erlaubt ist?

Hab's gerade "übergeritten". Das Ergebnis finde ich deutlich übersichtlicher!

Vielen Dank - auch für den Pull Request (auch wenn mir der Begriff noch nicht bekannt war).

Und außerdem hab' ich gerade dazugelernt: Das Trophäensymbol steht für "Danke", während ich bisher dachte, der "Daumen nach oben" bedeutet "Danke" ...

Ich glaub' ich werd' alt!