Новости Joomla

Компонент View logs v.2.1.0 получил совместимость с Joomla 6

Журнал NorrNext. 20 лет Joomla™. Продолжение

Журнал NorrNext. 20 лет Joomla™

Журнал NorrNext. 20 лет Joomla™. Новые интервью 🎈🆕

Продолжаю публиковать новые интервью с волонтёрами и видными персонами из мира Joomla.
Это — огромная и кропотливая работа. Всё для вас, друзья.

Доступны к чтению новые интервью со следующими Joomla активистами (на английском языке):

✔️ Akarawuth Tamrareang (Таиланд) 🇹🇭
✔️ Alison Meeks (Канада) 🇨🇦
✔️ David Aswani (Кения)🇰🇪
✔️ Jeison Ferreira (Бразилия) 🇧🇷
✔️ Marc-Antoine Thevenet (Франция) 🇫🇷
✔️ Richard Gosler (Соединённое Королевство) 🇬🇧
✔️ Roland Dalmulder (Нидерланды) 🇳🇱
✔️ Sakis Terzis (Греция) 🇬🇷
✔️ Sandra Decoux (Франция) 🇫🇷
✔️ Sonny Le (Вьетнам) 🇻🇳
✔️ Svetoslav Slavkov (Болгария) 🇧🇬
✔️ Viviana Menzel (Германия) 🇩🇪

‼️ Новые интервью будут добавляться в этот первый выпуск до декабря. 20-го числа, поэтому периодически проверяйте обновления💡

👉 Читать далее

JL Sitemap v2.1.0 – обновление компонента для карт сайта

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 25 Ответов
  • 1483 Просмотров
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Сохранение параметра session_id в phpMyAdmin
« : 25.12.2017, 11:17:58 »
Здравствуйте!

Столкнулся с проблемой. В базе данных phpMyAdmin сохраняется каждая сессия пользователей посетивших сайт, всех подряд. Причём только этот параметр — session_id. Из-за этого ежедневно накапливается огромное количество файлов в таблице.
Подскажите пожалуйста, как можно отключить сохранение этого параметра, чтобы сессии не сохранялись вообще. 
Записан
*

wishlight

  • Гуру
  • 5071
  • 319 / 1
  • От 300 руб быстрый хостинг. Сервера.
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #1 : 25.12.2017, 12:08:18 »
Не хранить сессии в базе?
Записан
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #2 : 25.12.2017, 12:18:46 »
Верно. Ну хотя бы хранить только зарегистрированных. Но лучше вообще никаких. Какой от этих сессий толк?
« Последнее редактирование: 25.12.2017, 12:22:36 от Mnojitell »
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #3 : 25.12.2017, 12:41:06 »
сессии нужны чтобы помнить действия пользователя на сайте, например авторизацию. они сохраняются, через время удаляются. это время зависит от настройки Общие настройки - Система - Время жизни сессии. можете задать там меньшее значение.
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #4 : 25.12.2017, 13:36:05 »
Спасибо за подсказку. А можно сделать так, чтобы они вообще не сохранялись? Ведь сейчас все браузеры сохраняют куки.
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #5 : 25.12.2017, 13:46:54 »
можно. но авторизация работать не будет. и еще много чего не будет. куки позволяют php идентифицировать браузер, и только. никакой информации там не хранится, информация хранится в сессиях.
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #6 : 25.12.2017, 13:59:56 »
Меня заинтересовал этот вопрос ещё и потому, что сейчас через сессии мошенники настраивают перенаправление на другие ресурсы (адульт, платники и т.д.). Просматривая внешние переходы я ежедневно вижу по 2-3 перехода (скрытое перенаправление) по всей видимости связанное именно с session_id: https://vakla.ru/mm2?session_id=0&defbr=0&driverok=&publ=323584260a25ba14b5bd8cb5bb5201ea&limit=5&plugin_id=1&bildid=965dd1323aa7263570d443ec61bd6a01&time=6&gplugin_id=1&instance_id=222222222&computer_id=54321876e6c16138ce03687407f624c5&version=0&adult=false&adult_key=0&referrer=http://go.mail.ru/
Сайт проверил и перепроверил. На 99% уверен, что вредоносного кода в файлах нет, но переходы всё равно каким то образом происходят. Есть версия, что перенаправление включают через уязвимость в phpmyadmin: https://xakep.ru/2011/11/02/57690/
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #7 : 25.12.2017, 14:12:59 »
сессии навряд ли имеют к этому отношение. уязвимость в phpMyAdmin тоже за 6 лет уже закрыли, мне так думается :) откуда вы знаете, что это именно скрытое перенаправление, а не например осознанный переход?
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #8 : 25.12.2017, 14:22:08 »
Постоянное одни и те же адреса. Конечно может быть, что пользователь перешёл на этот сайт по собственному желанию, но почему-то переход указывается (яндекс метрика) именно с моего сайта, то есть по ссылке. К тому же при переходе по адресу https://vakla.ru/ вообще никуда не попадаешь, а по полной ссылке прямиком в казино.
« Последнее редактирование: 25.12.2017, 14:26:40 от Mnojitell »
Записан
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #9 : 25.12.2017, 14:33:03 »
Может быть это и не связано с session_id, но где ещё копать, чтобы обнаружить вредоносный код я не представляю.
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #10 : 25.12.2017, 15:23:21 »
99% что это никак не связано с сессиями. нужно искать и удалять вредоносов
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Efanych

  • Глобальный модератор
  • 4683
  • 644 / 0
  • Меняю свою жизнь на 360°!
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #11 : 25.12.2017, 16:28:26 »
А заражение компьютера пользователя не рассматриваете?
Ну, когда при просмотре сайта разные баннеры в страницу встраиваются...
Записан
Создание сайтов, шаблонов, помощь в решении проблем.
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #12 : 25.12.2017, 16:44:05 »
я подумал на счет этого, когда спрашивал об осознанном переходе, но тогда почему всегда одни и те же адреса? CSP однозначно тоже нужно настроить, но в данном случае имхо вероятнее все таки заражение сайта...
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #13 : 26.12.2017, 02:49:12 »
Друзья! Спасибо вам за участие. Благодаря вам я похоже нашёл причину скрытых переходов. По всей видимости заражен не сайт, а устройства пользователей и необходимо срочно настроить CSP. Просмотрев обсуждения в этой теме Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса, я понял, что проблема идентична, так как структура указанных там ссылок переходов аналогична.   
Записан
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #14 : 26.12.2017, 10:05:32 »
С настройками CSP выходит полная лажа. Чтобы удалить все ошибки в браузере, нужно разрешать 'unsafe-inline' и 'unsafe-eval', что сводит всю защиту сайта с помощью этого инструмента к нулю.   
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #15 : 26.12.2017, 11:26:42 »
ну... тут уже выбирать между и между :) но по опыту 99% проблем создают ифреймы, а не unsafe-inline
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #16 : 26.12.2017, 12:43:55 »
А вы случайно не в курсе, как настроить директиву 'nonce', чтобы выполнялись только указанные инлайн скрипты? 
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #17 : 26.12.2017, 12:59:14 »
тут в общих чертах написано об этом https://habrahabr.ru/company/nixsolutions/blog/271575/. смысл в том, что вы генерируете любой трудноподбираемый набор символов, и добавляете его в разрешенный, а также в тег скрипт. либо генерируете хеш от тела скрипта, и указываете браузеру алгоритм, а он сам проверяет совпадение.

P.S. но обратите внимание на https://caniuse.com/#feat=contentsecuritypolicy2
« Последнее редактирование: 26.12.2017, 13:03:26 от dmitry_stas »
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #18 : 26.12.2017, 13:42:52 »
Цитировать
https://vakla.ru/mm2?session_id=0&defbr=0&driverok=&publ=323584260a25ba14b5bd8cb5bb5201ea&limit=5&plugin_id=1&bildid=965dd1323aa7263570d443ec61bd6a01&time=6&gplugin_id=1&instance_id=222222222&computer_id=54321876e6c16138ce03687407f624c5&version=0&adult=false&adult_key=0&referrer=http://go.mail.ru/

Разное открывается по этой ссылке рандомно. Можно даже session_id заменить на 12345. Не в этом дело.

Цитировать
99% что это никак не связано с сессиями. нужно искать и удалять вредоносов

Именно так.
Цитировать
По всей видимости заражен не сайт, а устройства пользователей

Нет, это именно сайт заражен.

Цитировать
Есть версия, что перенаправление включают через уязвимость в phpmyadmin

Возможно вполне, что у вас в базе данных, например в статье Joomla, сидит перенаправление, обычно это код JavaScript. Ищите. Попробуйте скачать SQL дамп базы и поискать в скрипте эти vakla или что там еще из ваших логов есть. Сложно советовать без полной информации.




« Последнее редактирование: 26.12.2017, 14:25:22 от capricorn »
Записан
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #19 : 28.12.2017, 19:36:27 »
capricorn, я и сам не исключаю возможность того, что на сайте может быть вирус, но где его ещё искать ума не приложу, так как и файлы сайта и база данных проверены перепроверены. Последняя надежда выловить с помощью CSP.
Сегодня просмотрел первый отчёт об ошибках Content-Security-Policy и очумел о того, сколько в сети заражённых устройств. Какие только вирусы не гуляют по интернету: и Яндекс метрики всех стран, и Google аналитикс, и Google менеджер тегов и ещё много всякой всячины, все не перечислишь. И это всего за один день! А ведь многие даже не подозревают о их наличии, а многие знают, но ничего не делают.
Вся эта мерзость выползла, даже без директивы nonce, которую я нес мог настроить, а с инлайн скриптами вирусов я подозреваю будет намного больше.
При настройке директивы nonce я наткнулся на условие, написанное в инструкции Яндекс по установке на сайт с CSP метрики. Директива должна содержать случайный набор символов, ежедневно генерируемый сервером (хэш скрипта), но как эту переменную получить я не знаю. Написал в тех.поддержку хостинга, но пока ответа нет.   
« Последнее редактирование: 28.12.2017, 19:41:22 от Mnojitell »
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #20 : 28.12.2017, 23:37:26 »
Цитата: Mnojitell от 28.12.2017, 19:36:27
Сегодня просмотрел первый отчёт об ошибках Content-Security-Policy и очумел о того, сколько в сети заражённых устройств. Какие только вирусы не гуляют по интернету: и Яндекс метрики всех стран, и Google аналитикс, и Google менеджер тегов и ещё много всякой всячины, все не перечислишь.
что то я тут не смог прочесть между строк скрытый смысл... или его тут нет? :)
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #21 : 29.12.2017, 06:08:41 »
Смы
Цитата: dmitry_stas от 28.12.2017, 23:37:26
что то я тут не смог прочесть между строк скрытый смысл... или его тут нет? :)
Смысл в том, что заражённых устройств тьма тьмущая и давно пора бить тревогу :D. Основная же масса вирусов маскируется под всем известные сервисы, чтобы не вызывать внимания при обнаружении. 
Записан
*

ProtectYourSite

  • Живу я здесь
  • 2368
  • 139 / 4
  • Безопасность вебсайтов
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #22 : 29.12.2017, 11:08:32 »
Цитата: Mnojitell от 28.12.2017, 19:36:27
Написал в тех.поддержку хостинга, но пока ответа нет.   
Хостинг здесь врядли поможет, это забота владельца сайта заботиться о своих подопечных.
Много раз говорилось, что  надо не просто удалить вредоносный код, а устранить первопричину попадания. Для этого нужны определённые навыки, поэтому если не получается самому, советую обратиться к специалистам
Записан
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #23 : 29.12.2017, 13:00:01 »
Да при чем тут зараженные устройства. Допустим, я захожу на ваш сайт с зараженного устройства, вам то что до этого? Что у вас за проблема конкретно с сайтом? Вы похоже запуганный интернетом. Еще раз - если идет переадресация с вашего сайта на другой, значит ваш заражен.





« Последнее редактирование: 29.12.2017, 13:03:48 от capricorn »
Записан
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #24 : 29.12.2017, 13:50:26 »
Цитата: Mnojitell от 29.12.2017, 06:08:41
Основная же масса вирусов маскируется под всем известные сервисы
а вы точно уверены что это именно подделки?

Цитата: dmitry_stas от 28.12.2017, 23:37:26
Сегодня просмотрел первый отчёт об ошибках Content-Security-Policy
а можно увидеть его? киньте пожалуйста в личку.
Записан
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Mnojitell

  • Захожу иногда
  • 122
  • 5 / 0
Re: Сохранение параметра session_id в phpMyAdmin
« Ответ #25 : 30.12.2017, 13:55:02 »
Правилом CSP img-src блокируется загрузка ресурса https://www.tns-counter.ru (рекламный вирус). Вызывается при использовании поиска по сайту. Не подскажите в какой директории он может находится?
Пытался отправить отчёт через личку, но не смог (отсутствует кнопка прикрепить файлы). Дайте мне в личку адрес почты.
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Пропала база данных в phpMyAdmin

Автор kazbec

 Ответов: 3
Просмотров: 1548 		Последний ответ 16.11.2023, 22:59:54
от Vastriet
Как включить плагины без панели администратора и phpMyAdmin?

Автор Михаил Лучшев

 Ответов: 7
Просмотров: 1210 		Последний ответ 14.07.2022, 01:32:38
от Михаил Лучшев
Не могу зайти в phpMyAdmin на Денвере

Автор Zegeberg

 Ответов: 6
Просмотров: 4017 		Последний ответ 14.01.2017, 22:43:13
от Zegeberg
Сбросить счетчик постов в phpMyAdmin

Автор Apollon

 Ответов: 1
Просмотров: 1016 		Последний ответ 24.07.2016, 16:59:34
от Филипп Сорокин
Перенос данных Joomla 3.3 +phpMyAdmin

Автор Дядька_Сид

 Ответов: 3
Просмотров: 3149 		Последний ответ 28.01.2015, 10:27:42
от Дядька_Сид