Guten Morgen,
ich muss leider mein altbekanntes Thema noch einmal anfassen. Die zugriffe werden leider immer größer. Ich habe mittlerweile pro Tag ca. 300.000 Server-Logfile Einträge. Einige wenige habe ich hier mal eingefügt:
Mit immer der gleichen Antwort in der "com_virtuemart.log.php ":
Ich brauche nochmals Prof. Hilfe, wie ich diesem Problem beikommen kann.
Die wichtigste Frage für mich ist jedoch, ist dies ein Sicherheitsproblem?
Danke der Faro
Die Frage ist halt, ob man das Loginmodule von offline auch nutzen kann, wenn der shop online ist. oder anders gesagt. man kann jede xbeliebige Seite an einen server schicken, bzw halt die POST Daten eines Formulars. Und wenn der Kontroller offen bleibt, is halt Mist. Es wäre schön, wenn es in Joomla eine Option gäbe wie "FE Login verbieten".
Die Idee ist dem Angreifer die Lust einfach komplett zu vermiesen, anstatt das man ständig im Log login versuche sieht. Wenn man dann noch statt adminstrator irgendein komisches Verzeichnis angeben muß ist imho so ein Shop extrem sicher.
Genau das war meine Frage, und auch mein Problem. Bisher ist mir jedoch nichts darüber bekannt. Die angezeigte URL in diesem Fall ist lediglich die: "example.de"
Ich habe
die offline.phpvon htdocs/meins/templates/system/
nach htdocs/meins/templates/mein-template/
kopiert und dann die Zeilen 58-76 ( <form... bis </form> )
gelöscht.
Müsste man das meiner Meinung nach nicht als Template-Override machen? Da die Datei nach einem Template-Update wieder überschrieben wird?
Moin,
ich persönlich fände es nicht gut, die Produkt-URL ohne die jeweiligen Kategorien anzeigen zu lassen. Für SEO könnten neue Probleme mit Dublicate Content entstehen. Soetwas dann zu händeln wäre sehr komplex.
Hallo Milbo,
ich kann mich im Offline-Modus im Frontend ohne Probleme anmelden. Die htaccess greift in diesem Fall nicht, da hierbei die "example.com/index.php?option=com_users&view=login" nicht genutzt wird.
Hier greift wie es aussieht lediglich die offline.php
Ich nochmal in die Runde,
es ist ja kein generelles VirtueMart Problem. Daher habe ich mal etwas im Joomla-Forum rumgeschnüffelt. 
Verantwortlich soll für das Login-Form für den Wartungsmodus die "offline.php" sein. Diese wird wohl geladen aus dem template/system Ordner, sollte das Template keine eigene mitbringen. Genutzt wird jedoch immer das Layout des aktivierten Templates.
Möchte man nun die Felder für UN und PW entfernen, so geht das nur über ein Template-Override. Da ich jedoch nicht plane, meine Seite in den Wartungsmodus zu setzen, kann ich das Thema vernachlässigen, da diese php Datei mit dem Login-Form nicht direkt aufgerufen werden kann. (denke ich) 
.
Sollte es doch mal nötig sein, die gesamte Seite zu deaktivieren, bediene ich mich mit der guten alten "index.html" und einem Baustellenschild.
Beste Grüße und ein schönes Wochenende
der Faro
Hallo HaeF,
Hast Du in
System - Konfiguration - Site
Frontendbearbeitung "keine" eingegeben ?
Diesen Button hatte ich auch schon in Betracht gezogen. Leider ändert es nichts, das Login-Form bleibt sichtbar. Ich komme mir gerade vor wie in Anfangszeiten von Joomla.
Nun habe ich meine Seite bisher nie in den Wartungsmodus gesetzt. Ich wollte es auf meiner Spiegelung einfach mal testen.
Wobei es für mich auch keinen Sinn macht, dass sich User im Frontend anmelden, während sich die Seite im Wartungsmodus befindet. Wartungsmodus kann ja auch bedeuten, dass Komomenten deinstalliert oder neu installiert werden müssen. Da macht es meiner Meinung nach keinen Sinn, dass sich währenddessen User im Frontend anmelden.
Beste Grüße
Faro
Guten Abend,
eigentlich dachte ich, dass ich in dieser Sache erfahren bin, doch leider kämpfe ich gerade mit peinlichen alten Problemen. Ich habe:
1. Die Benutzerregistrierung deaktiviert
2. Den Admin mit mit einem htaccess-Passwort geschützt
3. Das Anmeldemodul für das Frontend deaktiviert
4. per htaccess das Aufrufen des Direktlinks unterbunden
Wenn ich nun testweise meine Seite in den Wartungsmode setze, wird mir wieder ein Login-Form angezeigt:
Wo kommt das nun wieder her, und wie bekomme ich das weg?
Danke der Faro
Hallo Gemeinde,
nach gut 7 Tagen Ruhe, wird seit heute Mittag meine "com.virtuemart.log.php" wieder im Sekundentakt gefüllt. Diesmal jedoch habe ich in Echtzeit meine Serverlogs kopiert und einige wenige Einträge hier aufgelistet:
Wie es aussieht geht es hier um die Übeltäter "Barkrowler" und "AhrefsBot".
Mir ist noch nicht genau klar, was hier genau aufgerufen wird. Schaut doch bitte dazu mal in den Spoiler.
Edit:
ich habe gerade gelesen, dass der IP-Block vom "Barkrowler" oder "babbar.eu" bereits unter "reported as spam" registriert wurde. Tatsächlich habe ich sehr, sehr viele Zugriffe vom AhrefsBot und vom Barkrowler. Aber soll ich diese wirklich aussperren? Generell sind sie ja nicht Böse, oder?
Danke und Gruß der Faro
Hallo HaeF,
ich warte mit dem sperren der "api" noch ab. Wie es scheint, hat sich nach dem Update auf J 5.2.0 irgend etwas getan, Die besagten Einträge blieben seit der Aktualisierung auf diese Version, aus.
Ich bin mir auch nicht sicher, ob das Sperren dieses Ordners andere Joomla Funktionen beeinflusst. Wie zum Beispiel den Zugriff auf diesen bei einem Joomla-Update. In den weiten des Netzes ist man sich darüber auch nicht einig.
Danke und beste Grüße
Faro
Hallo Stefan,
vielen Dank für den ausführlichen Content. Da werde ich mich in Ruhe durcharbeiten.
Beste Grüße und einen schönen Sonntag
Faro
Hallo Haef,
ich habe den Code in meine .htaccess eingefügt, und er funktioniert bestens.
Besten Dank und ein schönes Wochenende
Faro
Hallo HaeF,
danke für deine Antwort. Ich werde es gleich mal ausprobieren. Eine Frage habe ich noch.
Diese Regelung behindert aber nicht den normalen Bestellablauf in VirtueMart?
Beste Grüße der Faro
Hallo Gemeinde,
Da es in meinem Shop nur den Gastcheckout gibt, benötige ich keine Registrierung und auch keine Anmeldung im Frontend. (Vielleicht ändert sich das ja später mal
). Dazu habe ich die Benutzerregistrierung, sowie das Login-Modul deaktiviert. Soweit so gut.
Nun ist es aber immernoch möglich, das Anmeldeformular über: "example.com/index.php?option=com_users&view=login" aufzurufen. Aus meinen Srverlogs sehe ich, dass diesen Link einige Bots auch nutzen. Es ist zwar über ECC+ abgesichert, aber ich möchte, dass dieser Aufruf überhaupt nicht mehr möglich ist.
Welche Möglichkeiten gibt es da eventuell über die .htaccess oder über ein Template-Override?
Danke der Faro
Oder gibt es in der Konfiguration eine Einstellung um die Berechtigung zum Löschen zu erhalten?
Hallo Dilsberger,
das ist mir nicht bekannt. Ich habe ebenfalls nur Rechnungen gelöscht, welche mehr als 10 Jahre alt waren, und natürlch habe ich ebenfalls vorher die PDF's unter "virtuemart_invoices" gelöscht.
Hallo AmigoOlli,
wenn Du unter Bestellungen alte nicht mehr benötigte Bestellungen löscht, werden die Hinweise zu diesen auch in der Datenbank gelöscht
Hallo Stefan,
wenn ich mir dann andere Sachen nicht versperre?
Magst Du mir bitte erklären, was ich dazu genau in die .htaccess schreiben muss, und auch wo genau der Befehl hinkommt? 
Edit: Diesen Code gabe ich im Netz gefunden:
Wenn ich es richtig verstehe, wird dieser Dreizeiler einfach geschrieben und als eine .htaccess im Verzeichnis "api" abgelegt?
Oder kann ich mit dieser Sperrung gewisse wichtige Joomlafunktionen behindern?
Danke und beste Grüße
der Faro
Hallo Stefan, hallo Max,
vielen Dank für Eure Antworten. Da bin ich ja beruhigt. Eine Frage bleibt mir aber noch.
Da ich keinen User-Login habe und ich meinen Adminbereicht mit einem .htaccess-Passwortschutz versehen habe, warum landet diese Anfrage in der "error.php"? Denn nur ein fehlgeschlagener Anmeldeversuch (Front oder Backend) landet doch in der "error.php"?
Oder verwechel ich da etwas, weil es ja heißt "tokenfailure Authetication failed"?
Besser gefragt, kommt die Fehlermeldung nicht über das Front oder Backend?
Danke der Faro
Hallo in die Runde,
Heute hatte ich einen neuen Eintrag in der „error.php“. Wenn ich diese IP-Adresse In der .htaccess sperre, werden auch keine besagten Einträge in die "com_virtuemart.log.php " geschrieben.
In der Server-Logdatei habe ich zu der besagten IP-Adresse folgendes gefunden:
Das alles passiert trotz .htaccess-Passwortschutz im Adminbereich. Was wird dort versucht aufzurufen?
Eine Einstellung in der VM-Konfig, die Adresseingabe/Registrierung im Warenkorb nur anzuzeigen, wenn ein Produkt im Korb liegt, wäre in der Tat eine gute Sache, dann kann jeder Shop-Betreiber einfach entscheiden, wie er es haben möchte. Da müsste man sich nur über die Voreinstellung streiten.Um das Verhalten nicht zu verändern, scheint es sinnvoll, die Registrierung per default weiterhin anzuzeigen.
Das wäre eine sehr gute Sache!
Beste Grüße und ein schönes Wochenende wünscht der Faro
