Fehlermeldung - "No File available VirtuemartControllerFeatured"

faro · 24. Oktober 2024

Hallo in die Runde,

Heute hatte ich einen neuen Eintrag in der „error.php“. Wenn ich diese IP-Adresse In der .htaccess sperre, werden auch keine besagten Einträge in die "com_virtuemart.log.php " geschrieben.

In der Server-Logdatei habe ich zu der besagten IP-Adresse folgendes gefunden:

Spoiler anzeigen

Das alles passiert trotz .htaccess-Passwortschutz im Adminbereich. Was wird dort versucht aufzurufen?

StefanSTS · 24. Oktober 2024

Servus Faro,

die versuchen sehr wahrscheinlich, die gefixte Sicherheitslücke in der Joomla API anzusprechen, mit der sie dann Deine Installation übernehmen könnten.

Da Dein Joomla aktuell ist, passiert über diesen Weg nichts, es gibt dann nur die 401-Meldung, unauthorised, und die landet in Deinen Logs.

Im Grunde ist das weniger ein Error für Dich als eine für Dich positive Meldung, dass die Anfrage nicht durchging, weil der Aufrufende nicht berechtigt war, das zu tun.
Ein Error ist es für den Angreifer, dem gesagt wird: Hey, Dich kenne ich nicht, Du hast hier nichts zu suchen, bleib draußen.

Grüße

Stefan

Milbo · 24. Oktober 2024

Ach is ja interessant, daß da eine Sicherheitslücke war, denn über VM sind die da nie reingekommen. Diese Attacken gabs im Frühjahr und ich habe unseren Kontroller nochmal extra geschützt. So daß offensichtlich anfragen, mit SElect usw, gleich ohne Report abgewehrt werden. Aber ja es ist so wie Stefan sagt, der "Fehler" ist ein Report, der sagt "Da hat einer was versucht und mit diesem Versuch ist er nicht weit gekommen.

faro · 24. Oktober 2024

Hallo Stefan, hallo Max,

vielen Dank für Eure Antworten. Da bin ich ja beruhigt. Eine Frage bleibt mir aber noch.

Da ich keinen User-Login habe und ich meinen Adminbereicht mit einem .htaccess-Passwortschutz versehen habe, warum landet diese Anfrage in der "error.php"? Denn nur ein fehlgeschlagener Anmeldeversuch (Front oder Backend) landet doch in der "error.php"?

Oder verwechel ich da etwas, weil es ja heißt "tokenfailure Authetication failed"?

Besser gefragt, kommt die Fehlermeldung nicht über das Front oder Backend?

Danke der Faro

StefanSTS · 24. Oktober 2024

Hallo Faro,

Du kannst über die .htaccess den Zugang zu /api/ zu machen, dann hören die Log-Einträge sicher auf.

Grüße

Stefan

faro · 25. Oktober 2024

Hallo Stefan,

wenn ich mir dann andere Sachen nicht versperre?

Magst Du mir bitte erklären, was ich dazu genau in die .htaccess schreiben muss, und auch wo genau der Befehl hinkommt?

Edit: Diesen Code gabe ich im Netz gefunden:

Code

<Files "*.*">
Deny from all
</Files>

Wenn ich es richtig verstehe, wird dieser Dreizeiler einfach geschrieben und als eine .htaccess im Verzeichnis "api" abgelegt?

Oder kann ich mit dieser Sperrung gewisse wichtige Joomlafunktionen behindern?

Danke und beste Grüße

der Faro

StefanSTS · 27. Oktober 2024

Hallo Faro,

ich muss da auch immer erst nachdenken, oder auf Github schauen, oder mitlerweile chatGPT fragen, das geht meistens am schnellsten.

Folgendes müsste funktionieren:

RedirectMatch 403 ^/api/

Das gibt für den Zugriff auf den Ordner api ein Forbidden.

Wenn Du mehr Beispiele brauchst, findest Du hier eine alte gute Liste mit .htaccess-Regeln:

Grüße

Stefan

PS. Die Foren-Software hat den Link zum Gist verwendet, um das Gist gleich ganz hier hinein zu laden. Dinge gibt's...

faro · 27. Oktober 2024

Hallo Stefan,

vielen Dank für den ausführlichen Content. Da werde ich mich in Ruhe durcharbeiten.

Beste Grüße und einen schönen Sonntag

Faro

HaeFB · 28. Oktober 2024

Für die .htaccess in der root wäre
die einfache Variante:

RewriteEngine On (hast Du schon)
RewriteRule ^api/ - [F]
Grüßle
HaeF

faro · 28. Oktober 2024

Hallo HaeF,

ich warte mit dem sperren der "api" noch ab. Wie es scheint, hat sich nach dem Update auf J 5.2.0 irgend etwas getan, Die besagten Einträge blieben seit der Aktualisierung auf diese Version, aus.

Ich bin mir auch nicht sicher, ob das Sperren dieses Ordners andere Joomla Funktionen beeinflusst. Wie zum Beispiel den Zugriff auf diesen bei einem Joomla-Update. In den weiten des Netzes ist man sich darüber auch nicht einig.

Danke und beste Grüße

Faro

faro · 28. Oktober 2024

Hallo Gemeinde,

nach gut 7 Tagen Ruhe, wird seit heute Mittag meine "com.virtuemart.log.php" wieder im Sekundentakt gefüllt. Diesmal jedoch habe ich in Echtzeit meine Serverlogs kopiert und einige wenige Einträge hier aufgelistet:

Spoiler anzeigen

thomas-selendt.de anon-154-54-248-209.babbar.eu - - [28/Oct/2024:14:56:35 +0100] "GET /component/virtuemart/featured.html?virtuemart_manufacturer_id=12&Itemid=154&orderby=pc.ordering,product_name&dir=DESC&viewmode=grid HTTP/1.1" 200 72979 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-194-221.babbar.eu - - [28/Oct/2024:14:56:44 +0100] "GET /component/virtuemart/featured.html?virtuemart_manufacturer_id=12&Itemid=154&orderby=pc.ordering,product_name&dir=DESC&viewmode=list HTTP/1.1" 200 72755 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-194-113.babbar.eu - - [28/Oct/2024:14:56:53 +0100] "GET /component/virtuemart/featured.html?virtuemart_manufacturer_id=11&Itemid=154&orderby=pc.ordering,product_name&dir=DESC&viewmode=grid HTTP/1.1" 200 51055 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-195-140.babbar.eu - - [28/Oct/2024:14:57:02 +0100] "GET /component/virtuemart/featured.html?virtuemart_manufacturer_id=11&Itemid=154&orderby=pc.ordering,product_name&dir=DESC&viewmode=list HTTP/1.1" 200 50831 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-194-37.babbar.eu - - [28/Oct/2024:14:57:11 +0100] "GET /component/virtuemart/featured.html?virtuemart_manufacturer_id=1&orderby=pc.ordering,product_name&Itemid=154&start=30&viewmode=grid HTTP/1.1" 200 208380 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-154-54-248-209.babbar.eu - - [28/Oct/2024:14:57:21 +0100] "GET /component/virtuemart/featured.html?virtuemart_manufacturer_id=1&orderby=pc.ordering,product_name&viewmode=grid&Itemid=154 HTTP/1.1" 200 230858 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-54-36-148-56.ahrefs.com - - [28/Oct/2024:14:57:27 +0100] "GET /online-shop/lsv-75-wahrstorf-cd-der-hit-detail.html?layout=notify HTTP/1.1" 200 130084 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)"

thomas-selendt.de anon-217-113-195-112.babbar.eu - - [28/Oct/2024:14:57:31 +0100] "GET /component/virtuemart/?keyword=&Itemid=0&virtuemart_manufacturer_id=1&orderby=pc.ordering,product_name&viewmode=grid HTTP/1.1" 200 185230 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-194-37.babbar.eu - - [28/Oct/2024:14:57:40 +0100] "GET /online-shop/musik-cd-s/matrosen-in-lederhosen/by,ordering,product_name/dirDesc.feed?viewmode=grid&type=atom HTTP/1.1" 200 37266 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-194-123.babbar.eu - - [28/Oct/2024:14:57:49 +0100] "GET /online-shop/musik-cd-s/matrosen-in-lederhosen/by,ordering,product_name/dirDesc/results,1-20.html?viewmode=list HTTP/1.1" 200 158822 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-54-36-149-123.ahrefs.com - - [28/Oct/2024:14:57:55 +0100] "GET /online-shop/album-cd-3-cd-box-zum-jubilaeum-das-beste-detail.html?layout=notify HTTP/1.1" 200 95941 "-" "Mozilla/5.0 (compatible; AhrefsBot/7.0; +http://ahrefs.com/robot/)"

thomas-selendt.de anon-217-113-194-221.babbar.eu - - [28/Oct/2024:14:57:59 +0100] "GET /online-shop/musik-cd-s/captain-freddy/album-cd-captain-freddy-ich-hab-heimweh-nach-der-ferne-detail.html HTTP/1.1" 200 107170 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-194-37.babbar.eu - - [28/Oct/2024:14:58:08 +0100] "GET /online-shop/musik-cd-s/volker-hoeffer/by,pc.ordering,product_name/dirDesc.html?keyword=&viewmode=grid HTTP/1.1" 200 98710 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-194-60.babbar.eu - - [28/Oct/2024:14:58:17 +0100] "GET /online-shop/musik-cd-s/christian-haensel/by,pc.ordering,product_name/dirDesc.html?keyword=&viewmode=grid HTTP/1.1" 200 100201 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-194-184.babbar.eu - - [28/Oct/2024:14:58:27 +0100] "GET /online-shop/musik-cd-s/rollo2012-04-25-12-58-52.html?orderby=pc.ordering,product_name&dir=DESC&viewmode=grid HTTP/1.1" 200 100018 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-194-113.babbar.eu - - [28/Oct/2024:14:58:37 +0100] "GET /online-shop/musik-cd-s/rollo2012-04-25-12-58-52.html?orderby=pc.ordering,product_name&dir=DESC&viewmode=list HTTP/1.1" 200 101433 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-195-112.babbar.eu - - [28/Oct/2024:14:58:46 +0100] "GET /online-shop/musik-cd-s/rollo2012-04-25-12-58-52/by,ordering,product_name.feed?viewmode=grid&type=atom HTTP/1.1" 200 3616 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

thomas-selendt.de anon-217-113-194-60.babbar.eu - - [28/Oct/2024:14:58:55 +0100] "GET /online-shop/musik-cd-s/rollo2012-04-25-12-58-52/by,ordering,product_name.feed?viewmode=list&type=atom HTTP/1.1" 200 3616 "-" "Mozilla/5.0 (compatible; Barkrowler/0.9; +https://babbar.tech/crawler)"

Wie es aussieht geht es hier um die Übeltäter "Barkrowler" und "AhrefsBot".

Mir ist noch nicht genau klar, was hier genau aufgerufen wird. Schaut doch bitte dazu mal in den Spoiler.

Edit:

ich habe gerade gelesen, dass der IP-Block vom "Barkrowler" oder "babbar.eu" bereits unter "reported as spam" registriert wurde. Tatsächlich habe ich sehr, sehr viele Zugriffe vom AhrefsBot und vom Barkrowler. Aber soll ich diese wirklich aussperren? Generell sind sie ja nicht Böse, oder?

Danke und Gruß der Faro

faro · 8. November 2024

Guten Morgen,

ich muss leider mein altbekanntes Thema noch einmal anfassen. Die zugriffe werden leider immer größer. Ich habe mittlerweile pro Tag ca. 300.000 Server-Logfile Einträge. Einige wenige habe ich hier mal eingefügt:

Spoiler anzeigen

Mit immer der gleichen Antwort in der "com_virtuemart.log.php ":

Spoiler anzeigen

Ich brauche nochmals Prof. Hilfe, wie ich diesem Problem beikommen kann.

Die wichtigste Frage für mich ist jedoch, ist dies ein Sicherheitsproblem?

Danke der Faro

StefanSTS · 8. November 2024

Hallo Faro,

ein Sicherheitsproblem eher nicht, aber die reizen evtl. Deine Server-Resourcen mächtig aus.

Lösungsansätze:

1. Du kannst Deinen Provider fragen, ob die da filtern können.

2. Ich nehme stark an, diese Crawler halten sich nicht an die robots.txt.

Hast Du Einträge in der robots.txt, die das verhindern sollten?

3. Im Log steht:
/component/virtuemart/featured.feed? 200 (200 = erfolgreiche Verbindung)

Du könntest diese Pfade über die .htaccess blocken, wie schon den api-Pfad.

Kurz: Über robots.txt kann man es versuchen, die macht aber nur "Vorschläge".
Letztendlich ist es am besten, wenn der Provider es schon vor dem Server rausfiltert.

Grüße

Stefan

PS. Vielleicht hat Max noch eine Idee, wie man zumindest die Fehlermeldungen im Log verhindert.

faro · 8. November 2024

Hallo Stefan,

Zitat von StefanSTS

ein Sicherheitsproblem eher nicht, aber die reizen evtl. Deine Server-Resourcen mächtig aus.

Ja, das tun sie, wie ich es ja in meinen Serverlogs sehe.

Zitat von StefanSTS

2. Ich nehme stark an, diese Crawler halten sich nicht an die robots.txt.

Hast Du Einträge in der robots.txt, die das verhindern sollten?

Ich habe erst heute eine Regel in meine robots.txt geschrieben.

Code

User-agent: barkrowler
Disallow: /component/virtuemart/

Ich werde das mal beobachten, was nun passiert.

Zitat von StefanSTS

3. Im Log steht:
/component/virtuemart/featured.feed? 200 (200 = erfolgreiche Verbindung)

Du könntest diese Pfade über die .htaccess blocken, wie schon den api-Pfad.

Ich denke, wenn ich diese Regel in der htaccess setze, könnten doch auch andere benötigten Dienste gesperrt werden?

Zitat von StefanSTS

PS. Vielleicht hat Max noch eine Idee, wie man zumindest die Fehlermeldungen im Log verhindert.

Das wäre Super!

Vielen Dank Stefan für deine schnelle Antwort und beste Grüße

Faro

StefanSTS · 8. November 2024

Zitat von faro

Ich denke, wenn ich diese Regel in der htaccess setze, könnten doch auch andere benötigten Dienste gesperrt werden?

Der Crawler geht da über die ungeSEFte Standard-VM-URL.
Du hast aber alle Produkte und Kategorien usw. durch Menüverweise mit einem eindeutigen Pfad versehen.

Solange Du Deine Produkt-URLs nicht sperrst, ist das alles in Ordnung.

component/virtuemart/ zu sperren, sperrt nicht die "schönen SEF-URL" Deiner Produkte wie:
online-shop/musik-cd-s/matrosen-in-lederhosen/album-cd-3-cd-box-zum-jubilaeum-das-beste-detail.html

STS

faro · 8. November 2024

Danke für die Erklärung Stefan, Da ich da nicht so tief drinstecke wie Du, bin ich nun etwas schlauer geworden.

Danke und beste Grüße

Faro

faro · 8. November 2024

Ich habe bitte noch eine Frage Stefan,

ich habe gerade in meinen Server-Logs gesehen, dass auch Google die /component/virtuemart/ nutzt:

Spoiler anzeigen

Kann ich mich da selber aussperren, wenn ich /component/virtuemart/ per htaccess sperre?

Falls Ja, bleibt mir dann nur noch die Hilfe von Max, die Fehlermeldungen im Log zu verhindern.

Danke der Faro

StefanSTS · 8. November 2024

Hallo Faro,

Google und die anderen Bots sollten eigentlich nur die Links Deines Menüs nutzen, oder die Links in einer Sitemap.
Kann es sein, dass Du eine Sitemap hast, in der diese Pfade stehen?

Bei der Eingabe von
site:http://www.thomas-selendt.de Matrosen in lederhosen
bei Google bekomme ich nur "ordentliche" Links in den Treffern.

Du wirst Deine Produkte also nicht ausschließen, weil sie über die "richtigen" Links erreichbar sind.
Ich nehme an, wenn da Produkte über /component/virtuemart/produktx gefunden werden, sieht Google die Canonical URL und gibt die richtige URL an, die Du im Menü hast.

Übrigens bin ich kein SEO-Experte, ich habe mich immer darum gedrückt, wenn ich konnte, deshalb glaub mir kein Wort, das Du nicht selbst verifiziert hast.

STS

faro · 8. November 2024

Hallo Stefan,

nein, in meiner Sitemap habe ich nur die ordentlichen Links zu stehen, welche Dir auch beim normalen Seitenaufruf angezeigt werden.

Zitat von StefanSTS

Übrigens bin ich kein SEO-Experte, ich habe mich immer darum gedrückt, wenn ich konnte, deshalb glaub mir kein Wort, dass Du nicht selbst verifiziert hast.

Das glaube ich Dir gern, dieses Thema ist schon zu Haare raufen.

Naja, ich habe nun erst einmal die "Liebe Sperrvariante" über die robots.txt gewählt.

Code

Disallow: /component/virtuemart/

Ich werde es mal beobachten. Wie die Bot-Anbieter schreiben, wollen sie sich ja an die robots.txt halten!

Danke nochmal und beste Grüße

Faro

faro · 9. November 2024

Hallo Stefan,

ich habe bitte noch eine Verständnisfrage.

Was genau sperre ich hier eigentlich in der robots.txt? Dieses Verzeichnis gibt es im Root ja gar nicht:

Code

Disallow: /component/virtuemart/

Sollte es nicht zu diesem Pfad hin noch eine Adresse geben? Bzw, wo befindet sich diese /comonent/virtuemart/?

Danke der Faro