Beiträge von faro

Hallo HaeF,

danke für deine Antwort. Ich werde es gleich mal ausprobieren. Eine Frage habe ich noch.

Diese Regelung behindert aber nicht den normalen Bestellablauf in VirtueMart?

Beste Grüße der Faro

Hallo Gemeinde,

Da es in meinem Shop nur den Gastcheckout gibt, benötige ich keine Registrierung und auch keine Anmeldung im Frontend. (Vielleicht ändert sich das ja später mal). Dazu habe ich die Benutzerregistrierung, sowie das Login-Modul deaktiviert. Soweit so gut.

Nun ist es aber immernoch möglich, das Anmeldeformular über: "example.com/index.php?option=com_users&view=login" aufzurufen. Aus meinen Srverlogs sehe ich, dass diesen Link einige Bots auch nutzen. Es ist zwar über ECC+ abgesichert, aber ich möchte, dass dieser Aufruf überhaupt nicht mehr möglich ist.

Welche Möglichkeiten gibt es da eventuell über die .htaccess oder über ein Template-Override?

Danke der Faro

Zitat von Dilsberger

Oder gibt es in der Konfiguration eine Einstellung um die Berechtigung zum Löschen zu erhalten?

Hallo Dilsberger,

das ist mir nicht bekannt. Ich habe ebenfalls nur Rechnungen gelöscht, welche mehr als 10 Jahre alt waren, und natürlch habe ich ebenfalls vorher die PDF's unter "virtuemart_invoices" gelöscht.

Hallo AmigoOlli,

wenn Du unter Bestellungen alte nicht mehr benötigte Bestellungen löscht, werden die Hinweise zu diesen auch in der Datenbank gelöscht

Hallo Stefan,

wenn ich mir dann andere Sachen nicht versperre?

Magst Du mir bitte erklären, was ich dazu genau in die .htaccess schreiben muss, und auch wo genau der Befehl hinkommt?

Edit: Diesen Code gabe ich im Netz gefunden:

Wenn ich es richtig verstehe, wird dieser Dreizeiler einfach geschrieben und als eine .htaccess im Verzeichnis "api" abgelegt?

Oder kann ich mit dieser Sperrung gewisse wichtige Joomlafunktionen behindern?

Danke und beste Grüße

der Faro

Hallo Stefan, hallo Max,

vielen Dank für Eure Antworten. Da bin ich ja beruhigt. Eine Frage bleibt mir aber noch.

Da ich keinen User-Login habe und ich meinen Adminbereicht mit einem .htaccess-Passwortschutz versehen habe, warum landet diese Anfrage in der "error.php"? Denn nur ein fehlgeschlagener Anmeldeversuch (Front oder Backend) landet doch in der "error.php"?

Oder verwechel ich da etwas, weil es ja heißt "tokenfailure Authetication failed"?

Besser gefragt, kommt die Fehlermeldung nicht über das Front oder Backend?

Danke der Faro

Hallo in die Runde,

Heute hatte ich einen neuen Eintrag in der „error.php“. Wenn ich diese IP-Adresse In der .htaccess sperre, werden auch keine besagten Einträge in die "com_virtuemart.log.php " geschrieben.

In der Server-Logdatei habe ich zu der besagten IP-Adresse folgendes gefunden:

Das alles passiert trotz .htaccess-Passwortschutz im Adminbereich. Was wird dort versucht aufzurufen?

Zitat von StefanSTS

Eine Einstellung in der VM-Konfig, die Adresseingabe/Registrierung im Warenkorb nur anzuzeigen, wenn ein Produkt im Korb liegt, wäre in der Tat eine gute Sache, dann kann jeder Shop-Betreiber einfach entscheiden, wie er es haben möchte. Da müsste man sich nur über die Voreinstellung streiten.

Um das Verhalten nicht zu verändern, scheint es sinnvoll, die Registrierung per default weiterhin anzuzeigen.

Das wäre eine sehr gute Sache!

Beste Grüße und ein schönes Wochenende wünscht der Faro

Zitat von cebylon

ich habe nun die Version 7.20 vom Plugin Checkout installiert, und es geht wieder,

danke für deine Hilfe!

Das ist nun aber wieder eine alte Version vom 23. April 2024? Aktuell wäre tatsächlich die 7.25 vom 19. August 2024. Eigenartig!

Ich würde mich mit diesem Problem mal an Jumbo von VirtuePlanet wenden.

Hallo Josef,

ich habe mir deine Seite mal angesehen. Wie es scheint, gibt es ein Problem mit dem Adressformular. Aus irgend einem Grund funktioniert es nicht zusammen mit dem "VP One Page Checkout for VirtueMart" von VirtuePlanet.

Ich würde es mal deaktivieren um zu schauen, wie VirtueMart von Haus aus mit einer Bestellung umgeht.

Hallo,

genaues kann ich leider daraus nicht erlesen. Kann es aber sein, dass Du eine Erweiterung in VirtueMart oder im Joomla nutzt, welche nicht Kompatibel ist?

Eventuell beißt sie sich auch nur mit der PHP-Version. Ich würde testweise mal runtergehen auf 8.2.

das Verzeichnis "...../JR-shop/", hast Du das als Unterverzeichnis angelegt? Liegt unter diesesm deine komplette Installation?

Hast Du mal den VM-Debug modus aktiviert, um zu schauen, welcher Fehler angezeigt wird?

Hallo Josef,

willkommen in unserem Forum. Um dir besser helfen zu können, müsstest Du uns noch mehr Informationen liefern.

1. Von welcher Version aus hast Du das Update gemacht?

2. Hat es in der Vorversion funktioniert?

3. Kaufen mit welcher Bezahlmethode?

4. Joomla Version?

5. PHP Version?

Hallo Stefan,

ja ich denke, dass die "Matrosen in Lederhosen" auch dort gern gehört werden.

Deine Denke "Internetgedanken" kann ich sehr gut verstehen. Daher meinte ebenfalls jemand im Joomla-Forum, "warum sollte ein Provider auch einen ganzen IP-Block sperren, immerhin laufen ja auch andere Dienstleistungen über diese IP's".

Ich meinem speziellen Fall ist es aber nun so, dass wenn ich diese IP-Blöcke wieder freigebe, sich nach ca. 4-6 Stunden meine "com_virtuemart.log.php " mit der besagten Meldung auf einige MB in nur wenigen Stunden aufbläst. Daher würde ich mich freuen, wenn wir eine Lösung finden könnten, diese Abfrage irgendwie vorher abzufangen, oder den Grund für diese zu beheben.

Vielleicht können wir diesen Beitrag auch in die Kategorie "Virtuemart Sicherheit" verschieben, um etwas mehr Aufmerksamkeit zu bekommen.

Beste Grüße Faro

Zitat von StefanSTS

Im Grunde ist der Server dafür verantwortlich, bzw. sollte der Hoster den Server so einrichten, dass IP-Adressen bei Massenaufrufen nur temporär gesperrt werden.

Auf den meisten Linux-Servern laufen diese Tools sowieso.

Hallo Stefan,

danke für deine Antwort. Ich werde das mal mit meinem Hoster besprechen, warum manchmal auch über Monate hinweg ganze IP-Bereiche z.B. aus Indonesien, welche bereits in anderen Listen als Spam gemeldet wurden, dennoch durchkommen.

P.S. Ich denke nicht, dass ich aus Indonsien Bestellungen bekomme. (Kleiner Scherz)

Beste Grüße Faro

Guten Morgen in die Runde,

wie genau führt ihr Euer VM-Update durch? Ich habe öfter Probleme, dass ich trotz Membership das Update nicht über das Backend anstoßen kann. Ich denke, dass der VM-Server nicht immer diese lange Downloadnummer erkennt, welche ich irgendwo in der VM-Config eingebunden habe.

Ist es generell das gleiche, ob ich ein Update über das Backend mache, oder ob ich mir die aktuelle Version über meinen VM-Account ziehe und diese dann ganz nornal unter "Erweiterungen - Installieren" drüberinstalliere?

Danke der Faro

Hallo Stefan,

wie ich schon schrieb, kann ich in den Server Logs dazu nichts passendes finden, oder ich verstehe nicht, sie korrekt aszulesen. Generell denke ich ebenfalls, dass hier versucht wird, Sicherheitslücken zu finden.

Vor gut zwei Monaten hatte ich eine sehr unschöne Attacke auf mein Shopsystem. Dabei wurden die besagten Logeinträge im Sekundentakt generiert. Zeitgleich wurde der Server mit Anfragen über "Frage zum Produkt stellen" regelrecht bombadiert, sodass 100te E-Mails in wenigen Stunden an mich gesendet worden waren und die "com_virtuemart.log.php" sich innerhalb von 24 Stunden auf gute 40 bis 60 MB füllte.

Natürlich wurde ich daraufhin von meinem Provider aufgrund der Mailattacken an mich, und zu hoher Serverlast vorerst gesperrt!

Erst nach der deaktivierung der Funktion: "Frage zum Produkt stellen" und das Sperren der IP-Adress-Blöcke:

herrschte wieder Ruhe. Zwei dieser IP-Blöcke führen nach England und einer nach Indonesien. Nach der Sperrung der IP-Adressen wurden für eine Woche lang auch keine neuen Logeinträge mehr in die "com_virtuemart.log.php " geschrieben.

Es wäre sehr schön, wenn wir zusammen eine Lösung finden könnten, diese besagten Anfragen vorher abzugreifen. Leider stecke ich dabei technisch nicht so drin wie Du. Daher brauche ich bitte professionelle Hilfe von Dir (Euch).

Danke und beste Grüße der Faro

Zitat von HaeFB

- ich habe die com_virtuemart.log.php gelöscht und alle möglichen Aktionen (User und Admin) durchgezogen.
- eine neue com_virtuemart.log.php wurde bisher nicht erzeugt.
- Vielleicht einfach ignorieren?

Bei mir ist ebenfalls seit gestern ab ca. 23:25 Uhr Ruhe. Wie ich jedoch über die Monate hinweg weiß, dauert es manchmal 1 bis 2 Tage, bis wieder Einträge in die com_virtuemart.log.php geschrieben werden. Du kannst es bei Dir ja auch mal beobachten.

Hallo HaeFB,

na da bin ich wenigstens nicht der Einzige, bei dem diese Art Logeinträge generiert werden!

An alten und überflüssigen VM-Dateien liegt es nicht, diese habe ich alle entfernt. Wie Du vielleicht in meinem Post #2 gelesen hast, tauchte das Problem erstmals nach dem Wechsel von PHP 7.4 auf 8.1 auf und ist seither geblieben.

Ich weiß bis heute nicht, wer oder was diese Logeinträge generiert. Es gibt nicht einmal in den Serverlogs Einträge mit Datum und Uhzeit zu diesen geschriebenen VM-Errorlogs. Der normale Besuch und Kauf im Shop generiert diese Einträge nicht, wie ich in meinem Beitrag #9 bereits beschrieben hatte.

Schau doch mal bitte in dein administrator/logs Verzeichnis, ob es dort auch eine "error.php" gibt, und wenn ja, was dort mit eingetragen wurde?

Ja, es funktioniert alles!