Новости Joomla

Joomla 6 нуждается в вашей помощи с тестированием.Вышел недавно релиз Joomla 6 alpha1

Joomla 6 нуждается в вашей помощи с тестированием.Вышел недавно релиз Joomla 6 alpha1

👩‍💻 Joomla 6 нуждается в вашей помощи с тестированием.Вышел недавно релиз Joomla 6 alpha1. Это релиз, в который включены уже проверенные изменения, но ещё очень многие исправления и улучшения ждут своей очереди. Joomla следит за качеством и безопасностью своего кода и каждое изменение должно быть успешно протестировано как минимум ещё двумя участниками сообщества. Разработка Joomla ведётся на платформе GitHub.Филипп Уолтон (Philip Walton) - один из разработчиков, кто активно вносит свой вклад в ядро Joomla. Он уже несколько месяцев посвящает свои послеполуденные часы пятницы работе с Joomla и предлагает присоединиться к нему. 📆 Пятница, 30 мая 2025, с 15:00 до 17:00 по UTC (Лондон) - с 18:00 до 20:00 по Москве.В чате Google Meet Филипп готов помочь с тестированием тем, кто будет делать это в первый раз. А так же он подготовил список лёгких Pull Request, которые можно протестировать довольно быстро. Чем больше тестов будет проведено сейчас, тем меньше ошибок вылезет потом. На данный момент 148 (уже 147 на момент написания заметки) PR на GitHub Joomla ждут тестирования.👩‍💻 Open to all. All together.Также вам поможет сделать первые шаги это видео.GitHub JoomlaДа, это вечер пятницы. Но тестирование занимает порой минут 15, а доброе дело сделано. Просто убедитесь, что разработчик чего-то не пропустил и всё работает как ожидается.#joomla #joomla6 #community

Вышла Phoca Gallery 5.1.0

Вышла Phoca Gallery 5.1.0

Вышла Phoca Gallery 5.1.0.Известный компонент галереи изображений чешского Joomla-разработчика Яна Павелки получил новую версию. В этой версии компонент получил полную совместимость с Joomla 5 и грядущей Joomla 6. Это стало возможно благодаря рефакторингу кодовой базы и удалению из кода галереи тех классов и методов, которые были помечены к удалению в Joomla 6. Для работы компонента не требуется плагин обратной совместимости. Читать релизСтраница расширения#расширения

Вышел релиз Joomla 5.3.1Проект Joomla рад сообщить о выпуске Joomla 5.3.1

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 26 Ответов
  • 2032 Просмотров
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Лезет спам и создает объявления без названия
« : 09.09.2015, 23:41:49 »
В настройках стоит что название - обязательное поле. И когда я пытаюсь создать объявление - мне грят, мол, нужно ввести. При этом иногда пролазиет спам и создает обьявления без темы. Как ему это удается?
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #1 : 10.09.2015, 09:48:28 »
Запись в базу в обход скриптов.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Лезет спам и создает объявления без названия
« Ответ #2 : 10.09.2015, 11:31:00 »
уязвимость  AdsManager
https://revisium.com/ru/blog/adsmanager_afu.html
Записан
*

max_1985

  • Давно я тут
  • 611
  • 56 / 0
Re: Лезет спам и создает объявления без названия
« Ответ #3 : 10.09.2015, 11:33:59 »
Цитата: Sergey2 от 09.09.2015, 23:41:49
В настройках стоит что название - обязательное поле. И когда я пытаюсь создать объявление - мне грят, мол, нужно ввести. При этом иногда пролазиет спам и создает обьявления без темы. Как ему это удается?
Поставьте чтоб объявления могли подавать только зарегистрированные пользователи + CAPTCHA
Записан
*

max_1985

  • Давно я тут
  • 611
  • 56 / 0
Re: Лезет спам и создает объявления без названия
« Ответ #4 : 10.09.2015, 11:37:17 »
Цитата: draff от 10.09.2015, 11:31:00
уязвимость  AdsManager
https://revisium.com/ru/blog/adsmanager_afu.html
В последней версии эта проблема решена.
Записан
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #5 : 10.09.2015, 14:59:55 »
Цитата: max_1985 от 10.09.2015, 11:33:59
Поставьте чтоб объявления могли подавать только зарегистрированные пользователи + CAPTCHA
CAPTCHA стоит, а незарегестрированных отсекать не хочется
Записан
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #6 : 10.09.2015, 15:05:15 »
Цитата: draff от 10.09.2015, 11:31:00
уязвимость  AdsManager
https://revisium.com/ru/blog/adsmanager_afu.html
У меня стоит версия 3.1.1. По крайней мере так пишет в управлении расширениями. В самом AdsManager пишут 3.1.0. Но вот это изменение у меня есть: http://www.joomprod.com/news/273-security-issue-file-upload-vulnerability-on-old-version.html
Кроме того установлен скрипт от SQL иньекций. Не панацея, конечно, но все же. Папка tmp у меня вынесена за пределы сайты. И папка pluload отсутсвует.
Прогнал сайт айболитом - нет ничего :(
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #7 : 10.09.2015, 16:19:41 »
Цитата: Sergey2 от 10.09.2015, 15:05:15
Прогнал сайт айболитом - нет ничего :(
Айболит не панацея. Он видит залитые скрипты, а не баги. Да и скрипты не все... Недавно клиент прислал письмо - аномальный трафик, хостер предупредил. Полез смотреть. Joomla 3.4.4, Кunena 4.0.5, PhocaGallery не помню какая... Все, больше расширений никаких. Прогнал айболитом - ругнулся на файл с картинкой, глянул исходник - пусто. Зато в index.php кто то воткнул запакованный обсуфицированный код шелла. Вот как? Добавил правила в .htaccess, код удалили, но сам факт взлома настораживает...
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #8 : 10.09.2015, 16:27:42 »
Я понимаю что не панацея. что баги он не видит. Кстати. Мне каждый раз приходит письмо о размещении обьявления. И про эти обьявления без темы тоже приходит. т.е. это не sql иньекция, а именно рзамещения обьявления.
Пойду в логах посмотрю, может найду че интересное.
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #9 : 10.09.2015, 16:38:33 »
Цитата: Sergey2 от 10.09.2015, 16:27:42
т.е. это не sql иньекция, а именно рзамещения обьявления
Что бы писать в базу, не обязательно использовать иньект, можно использовать и штатные скрипты. Например, подделка данных формы, когда на сервер отправляется пакет, как будто он был отправлен из формы добавления сообщения. Или может быть даже этот пакет шлется в ту часть кода, где происходит запись в базу (сталкивался и с таким г...кодом).
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #10 : 10.09.2015, 17:11:58 »
В логах все нормально. Похоже, действительно, проверка на обязательное поле идет только на форме. Если запрос руками формировать, то можно пустым оставить
Записан
*

draff

  • Гуру
  • 5801
  • 434 / 7
  • ищу работу
Re: Лезет спам и создает объявления без названия
« Ответ #11 : 10.09.2015, 17:31:44 »
А что в компоненте не проверяется Token ?
Есть в форме ?
Код
<?php echo JHTML::_( 'form.token' ); ?>
Записан
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #12 : 10.09.2015, 17:35:32 »
Я внутрь не лазил так глубоко. Раньше в Opera можно было подправить код страницы и тут же отобразить, а сейчас такую возможность убрали. Удобно было формы править :)
Токен, скорее всего, проверяется, как минимум CAPTCHA то работает. Но по логам там сначала открывается страницы добавления обьявления, то есть токен получается, а потом следует добавление объявления.
Записан
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #13 : 10.09.2015, 17:36:25 »
да, такая строка есть
Записан
*

Grendy

  • Захожу иногда
  • 247
  • 26 / 0
Re: Лезет спам и создает объявления без названия
« Ответ #14 : 10.09.2015, 18:44:15 »
Цитата: Sergey2 от 10.09.2015, 16:27:42
Мне каждый раз приходит письмо о размещении обьявления. И про эти обьявления без темы тоже приходит.

Всё правильно. То, что вы видите при попытке отправить объявление с пустой «темой», — результат проверки формы посредством Javascript. Javascript исполняется на компьютере клиента. Если в настройках браузера Javascript отключен, «ругаться» на незаполненность поля браузер не будет. А если использовать для добавления объявлений какой-нибудь скриптик (на Python достаточно нескольких строчек кода), то и вовсе от проверок на Javascript толку никакого. Нужно проверять данные повторно на сервере, о чём разработчики видимо пока не додумались или предлагают это в платных версиях.

Цитата: draff от 10.09.2015, 17:31:44
А что в компоненте не проверяется Token ?
Есть в форме ?
Код
<?php echo JHTML::_( 'form.token' ); ?>
Не спасёт. Достаточно сделать запрос формы, извлечь данные из скрытого поля и передавать их вместе с объявлением. Проверка будет успешно пройдена и объявление добавится.
Записан
Плюс в репутацию больше говорит о благодарности, чем слово "Спасибо" в теме, которую повторно, возможно, никогда уже не посетишь.
*

robert

  • Живу я здесь
  • 4974
  • 457 / 20
Re: Лезет спам и создает объявления без названия
« Ответ #15 : 10.09.2015, 21:44:33 »
Цитата: Grendy от 10.09.2015, 18:44:15
Нужно проверять данные повторно на сервере, о чём разработчики видимо пока не додумались или предлагают это в платных версиях.
Не спасёт. Достаточно сделать запрос формы, извлечь данные из скрытого поля и передавать их вместе с объявлением.
А по-вашему, что представляет собой
Код: php-brief
<?php echo JHTML::_( 'form.token' ); ?>
?
Записан
Не будь паразитом, сделай что-нибудь самостоятельно!
*

Grendy

  • Захожу иногда
  • 247
  • 26 / 0
Re: Лезет спам и создает объявления без названия
« Ответ #16 : 10.09.2015, 22:51:29 »
Цитата: robert от 10.09.2015, 21:44:33
А по-вашему, что представляет собой
Код: php-brief
<?php echo JHTML::_( 'form.token' ); ?>
?
По-нашему, это генерация скрытого поля с именем, представляющем собой последовательность символов. Если вы откроете браузером исходный код страницы с формой, вы увидите, что упомянутый код добавляет в форму тег input с типом hidden с именем вида «7866b7bd160908b86c219664942aec1d». Ничего более он не делает.
Записан
Плюс в репутацию больше говорит о благодарности, чем слово "Спасибо" в теме, которую повторно, возможно, никогда уже не посетишь.
*

robert

  • Живу я здесь
  • 4974
  • 457 / 20
Re: Лезет спам и создает объявления без названия
« Ответ #17 : 10.09.2015, 23:50:52 »
Цитата: Grendy от 10.09.2015, 22:51:29
Ничего более он не делает.
Ошибаетесь. Вы не подумали, зачем это поле нужно?
« Последнее редактирование: 11.09.2015, 08:40:40 от robert »
Записан
Не будь паразитом, сделай что-нибудь самостоятельно!
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #18 : 11.09.2015, 11:11:39 »
robert, а смысл? Бот так же может сделать запрос страницы, извлечь из нее ключ (токен) и отправить его с остальными данными... Другое дело, если этот токен на странице был бы получен через JS, а не через форму. Но года три назад попадались материалы о том, что и JavaScript сейчас для бота не проблема.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

robert

  • Живу я здесь
  • 4974
  • 457 / 20
Re: Лезет спам и создает объявления без названия
« Ответ #19 : 11.09.2015, 11:36:54 »
Цитата: SeBun от 11.09.2015, 11:11:39
robert, а смысл?
Да, но я не об этом.
Просто хотел сказать: <?php echo JHTML::_( 'form.token' ); ?> как раз для того, чтобы
Цитата: Grendy от 10.09.2015, 18:44:15
проверять данные повторно на сервере
Но, возможно, я неправильно понял Grendy.
Записан
Не будь паразитом, сделай что-нибудь самостоятельно!
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #20 : 12.10.2015, 18:48:24 »
А больше нет ни у кого такой проблемы? Или у всех стоит разрешение на добавление только зарегестрированным пользователям? А может кто капчу какую посоветует?
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #21 : 16.10.2015, 09:30:32 »
Цитата: Sergey2 от 12.10.2015, 18:48:24
А может кто капчу какую посоветует?
Ну прикрутите Recapcha 2... Но почитайте первый пост. Если бы бот имел только систему OCR, то он бы не смог обойти дополнительное поле, которое является обязательным к заполнению. Однако он это поле обходит. Следовательно, это не OCR и никакая CAPTCHA вам в данном случае не поможет, и никакие токены. Сделайте эксперимент. Проанализируйте, какое количество спама поступает в сутки (если его не так много, то за неделю, за месяц), затем смените пароль к базе данных. Если количество спама резко сократится, то ...делайте выводы.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #22 : 16.10.2015, 12:46:22 »
Цитата: SeBun от 16.10.2015, 09:30:32
Ну прикрутите Recapcha 2...
так она и стоит.
Цитировать
Но почитайте первый пост. Если бы бот имел только систему OCR, то он бы не смог обойти дополнительное поле, которое является обязательным к заполнению. Однако он это поле обходит. Следовательно, это не OCR и никакая CAPTCHA вам в данном случае не поможет, и никакие токены. Сделайте эксперимент. Проанализируйте, какое количество спама поступает в сутки (если его не так много, то за неделю, за месяц), затем смените пароль к базе данных. Если количество спама резко сократится, то ...делайте выводы.
пароль поменял. будем смотреть. Но если бы там напрямую в базу писалось бы, разме мне приходило бы письмо, о том что обьявление добавлено? Да и в логах там все нормально, заходят на страницу, отправляют запрос....
Записан
*

SeBun

  • BanMaster
  • 4030
  • 259 / 5
  • @SeBun48
Re: Лезет спам и создает объявления без названия
« Ответ #23 : 16.10.2015, 15:46:08 »
Цитата: Sergey2 от 16.10.2015, 12:46:22
Но если бы там напрямую в базу писалось бы, разме мне приходило бы письмо, о том что обьявление добавлено? Да и в логах там все нормально, заходят на страницу, отправляют запрос....
Если бот заточен именно под ваш сайт, то смоделировать эффект присутствия недолго. Возможно, бот заточен под какой то компонент и использует его уязвимость. В любом случае нужно изучать поведение, что называется, "под микроскопом". Навскидку гадать до бесконечности можно.
Записан
Оказываю услуги по Joomla | Миграция/Обновление | Сопровождение | IT-аутсорсинг | Недорогие домены и хостинг
*

Sergey2

  • Давно я тут
  • 651
  • 15 / 1
Re: Лезет спам и создает объявления без названия
« Ответ #24 : 28.10.2015, 18:22:37 »
поставил keycaptcha, где надо во флеше пазл сложить мышкой. Так через сутки обьявления стали появляться по три штуки в минуту.
Ни у кого нет что ли таких проблем? Может кто авторам отпишет?
Записан
*

grinat

  • Захожу иногда
  • 356
  • 34 / 2
Re: Лезет спам и создает объявления без назва
« Ответ #25 : 26.11.2015, 21:29:46 »
Цитата: SeBun от 10.09.2015, 16:19:41
Айболит не панацея. Он видит залитые скрипты, а не баги. Да и скрипты не все... Недавно клиент прислал письмо - аномальный трафик, хостер предупредил. Полез смотреть. Joomla 3.4.4, Кunena 4.0.5, PhocaGallery не помню какая... Все, больше расширений никаких. Прогнал айболитом - ругнулся на файл с картинкой, глянул исходник - пусто. Зато в index.php кто то воткнул запакованный обсуфицированный код шелла. Вот как? Добавил правила в .htaccess, код удалили, но сам факт взлома настораживает...
Айболит это бесполезная приблуда, насколько помню в него своего рода сигнатуры прописаны, детектор base64 например, в который так любят злоумышленники запаковывать свой код. Проще написать скрипт, который по особому запросу формирует бд в виде txt файла например, чтобы MySQL не грузить лишний раз, в ней хранятся имена файлов и их размер, далее этот скрипт по крону запускается например раз в 10 минут и проверяет все файлы, если видит что залит новый, то сразу удаляет, если размер изменился, то шлет отчет на почту. Проблем будет ноль. Поскольку эти уроды ломают сайты в автоматическом режиме, сканер проходит через 20 тыс сайтов, которые парсят с Google, и куда может пихает код, код ждет команды, как только она приходит, и идет спам, ddos или еще что-то, зависит от того какой заказ выполняет злоумышленник.
« Последнее редактирование: 26.11.2015, 21:33:41 от grinat »
Записан
*

max_1985

  • Давно я тут
  • 611
  • 56 / 0
Re: Лезет спам и создает объявления без названия
« Ответ #26 : 03.12.2015, 12:47:58 »
Разобрался что создание нескольких объявлений это не вирус, а просто недоработка разработчиков.
Просто если при создании объявления несколько раз нажать на кнопку "Сохранить", создастся несколько объявлений. Это решается запретом на повторное нажатие кнопки.
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Редактировать все объявления

Автор den_ko

 Ответов: 32
Просмотров: 11613 		Последний ответ 25.11.2021, 10:43:38
от FlexNL
Слетают категории объявления

Автор guardnext

 Ответов: 1
Просмотров: 2880 		Последний ответ 09.07.2019, 10:10:59
от guardnext
AdsManger не удаляет объявления

Автор kozhenevsky

 Ответов: 0
Просмотров: 1265 		Последний ответ 15.02.2018, 12:08:29
от kozhenevsky
Лечим кнопку "Delete from favorites" на странице объявления. AdsManager 3.1.11

Автор Mick_20

 Ответов: 1
Просмотров: 1606 		Последний ответ 24.12.2017, 22:28:14
от vadim73
Как добавить поле id объявления

Автор Den85

 Ответов: 9
Просмотров: 2440 		Последний ответ 11.11.2017, 15:18:48
от Den85