Admin Tools - rady a zkušenosti
18. říj 2016 18:24 #128816
Ahoj vespolek, mám čerstvě zakoupeno Admin Tools a prokousávám se nastavením a všema možnostma. Pokud by se někdo chtěl podělit o zkušenosti, nebo přispět radou, budu moc rád.
Je nějaký standardní postup, jak s Admin Tools pracovat? Já se během těch pár dní zatím dopracoval k následujícímu modelu, přičemž vycházím ze základního nastavení instalace + instrukcí na webu Akeeba.
Nainstaluju Admin Tools, nastavím přístup do administrace pouze pro povolené IP, zapíšu IP adresy pro administrátory do whitelistu, vygeneruju .htaccess a upravím v něm všechno co mi na webu zablokoval, nechám si vyjet Kontrolu změn souborů, prohlédnu a pokud nenajdu nic podezřelého, označím vše jako bezpečné.
Současně mi s tím ale vyvstaly otázky...
1. - Lze se do administrace přihlašovat jinak, než se zápisem IP do whitelistu? I když po prvním přihlášení vymažu dočasně blokované adresy, tak pokud se nenapíšu do whitelistu, Admin Tools mě do administrace nepustí.
2. - Je rozumné mít na webu umístěný odkaz do administrace? Nenapomáhám tím různým robotům?
3. - V nastavení webového firewallu je možnost použití tajného URL pro administrátory. Zkoušel jsem to, ale po nastavení mi pak fungují dvě adresy, tajná i ta původní.
4. - Je nutné použít Ochranu administrace heslem, když mám přístup do administrace vázaný na IP ve whitelistu?
5. - Výpis kontroly souborů mi hlásí množství potenciálně nebezpečných souborů, všechno to jsou součásti běžných a vyzkoušených rozšíření, takže je všechny označím jako bezpečné. Speciálně Event Gallery ve výpisu vychází jako 100% ohrožení, díky parametru eval v kódu, ale důvěřuju výrobci komponenty, takže taky označuju jako bezpečné. Má laik, respektive neprogramátor, šanci rozeznat ve výpisu opravdu nebezpečný soubor?
6. - Krátce po instalaci mi začnou chodit emaily s upozorněním Security exception. Je to normální? 5 - 10 emailů k jednomu webu za den. Když si toto upozorňování v nastavení vypnu, neprošvihnu tím něco?
7. - Nový soubor .htaccess vygenerovaný z Admin Tools mi zablokoval několik rozšíření, převážně týkajících se obrázků, galerie. Něco z toho jsem vyřešil sám podle návodu, s něčím mi obratem a ochotně poradili na Akeeba supportu. Netuším nakolik je to riskantní či není, povolovat výjimky v přístupu k souborům a složkám, potřebným pro tyto rozšíření. Na supportu se tvářili jako že používání složky cache pro ukládání náhledů fotek není zrovna košer. Ale opět vycházím z toho, že pokud je to běžné rozšíření z Joomla Extensions, mělo by to být bezpečné... (poslední věta před hacknutím webu
K dalším nástrojům v Admin Tools jsem se zatím neprokousal, popravdě ani nevím jak je použít, tak budu rád za zkušenosti a rady.
Předem díky!
Je nějaký standardní postup, jak s Admin Tools pracovat? Já se během těch pár dní zatím dopracoval k následujícímu modelu, přičemž vycházím ze základního nastavení instalace + instrukcí na webu Akeeba.
Nainstaluju Admin Tools, nastavím přístup do administrace pouze pro povolené IP, zapíšu IP adresy pro administrátory do whitelistu, vygeneruju .htaccess a upravím v něm všechno co mi na webu zablokoval, nechám si vyjet Kontrolu změn souborů, prohlédnu a pokud nenajdu nic podezřelého, označím vše jako bezpečné.
Současně mi s tím ale vyvstaly otázky...
1. - Lze se do administrace přihlašovat jinak, než se zápisem IP do whitelistu? I když po prvním přihlášení vymažu dočasně blokované adresy, tak pokud se nenapíšu do whitelistu, Admin Tools mě do administrace nepustí.
2. - Je rozumné mít na webu umístěný odkaz do administrace? Nenapomáhám tím různým robotům?
3. - V nastavení webového firewallu je možnost použití tajného URL pro administrátory. Zkoušel jsem to, ale po nastavení mi pak fungují dvě adresy, tajná i ta původní.
4. - Je nutné použít Ochranu administrace heslem, když mám přístup do administrace vázaný na IP ve whitelistu?
5. - Výpis kontroly souborů mi hlásí množství potenciálně nebezpečných souborů, všechno to jsou součásti běžných a vyzkoušených rozšíření, takže je všechny označím jako bezpečné. Speciálně Event Gallery ve výpisu vychází jako 100% ohrožení, díky parametru eval v kódu, ale důvěřuju výrobci komponenty, takže taky označuju jako bezpečné. Má laik, respektive neprogramátor, šanci rozeznat ve výpisu opravdu nebezpečný soubor?
6. - Krátce po instalaci mi začnou chodit emaily s upozorněním Security exception. Je to normální? 5 - 10 emailů k jednomu webu za den. Když si toto upozorňování v nastavení vypnu, neprošvihnu tím něco?
7. - Nový soubor .htaccess vygenerovaný z Admin Tools mi zablokoval několik rozšíření, převážně týkajících se obrázků, galerie. Něco z toho jsem vyřešil sám podle návodu, s něčím mi obratem a ochotně poradili na Akeeba supportu. Netuším nakolik je to riskantní či není, povolovat výjimky v přístupu k souborům a složkám, potřebným pro tyto rozšíření. Na supportu se tvářili jako že používání složky cache pro ukládání náhledů fotek není zrovna košer. Ale opět vycházím z toho, že pokud je to běžné rozšíření z Joomla Extensions, mělo by to být bezpečné... (poslední věta před hacknutím webu

K dalším nástrojům v Admin Tools jsem se zatím neprokousal, popravdě ani nevím jak je použít, tak budu rád za zkušenosti a rady.
Předem díky!
18. říj 2016 20:09 - 18. říj 2016 20:15 #128818
Odpověď od Martin70

Zkušený uživatel
Po napadení webu v roce 2013 taky používám AdminTools, myslím si že je to slušný základ. Ale u spousty nastavení rovněž nevím, co přesně znamenají. Docela dobrá věc mi přijde geografická blokace, zvláště Ukrajina, Turecko, China, Bělorusko, apod. Akorát nevím, zda mohu blokovat Severní Ameriku kvůli robotovi google. I to hromadné nastavení práv souborů a složek je dobrá věc.
Občas mi přijde, že to blokovalo MUA Shield.
Občas mi přijde, že to blokovalo MUA Shield.
Poděkovali: Vráťa
18. říj 2016 20:19 - 18. říj 2016 20:21 #128819
Odpověď od zpetr
Zkušený uživatel
Neumím odpovědět na všechno také to zkoumám za pochodu.
1. zvolil jsem si raději dvojí přihlášení bo nesedím stále na jedné ip. Většinou když se něco přihodí jsem právě mimo.
2. asi ne i když roboti to projedou jak pro joomlu tak i pro worpress a podobné systémy. Takže už asi vědí kam.
3. nezkoušel jsem mám pocit bezpečí s dvojím přihlášením + silnější hesla.
4. viz bod 1
5. no babo raď když jsem měl soubory napadené( před admin tools) tak bylo v obsahu poznat i nezkušeným pohledem co tam nepatří. Většinou první instalace je čistá tak od ní se odrážím.
6. 10 mailu za den =pohoda. V nastavení sablony mejlů jde sloučit mejly např 5 za hodinu do jednoho. to je ještě potřeba v nastaveni firewallu zatrhnout (zaznamy a výkazy dole).
7. to se mi nepodařilu mám asi štestí snažím se používat minimum doplňků.
Ještě k tomu blokování pokud zůstane adresa uvedena jako událost (zaznamy bez. vyjímek) musí se máznout i tam nestačí ji vyhodit z dočasného blokování nebo blokovaných adres. Ona totíž je tím stále plněna podmínka pro to blokování. (tj třeba 3x za hodinu špatný login ban na den.)
Moc se mi líbí geo blok, když odfiltruju asii rusko ameriky, tak mám spoutu volného času odrážet ataky od francouzů a rumunů (v mém případě).
1. zvolil jsem si raději dvojí přihlášení bo nesedím stále na jedné ip. Většinou když se něco přihodí jsem právě mimo.
2. asi ne i když roboti to projedou jak pro joomlu tak i pro worpress a podobné systémy. Takže už asi vědí kam.
3. nezkoušel jsem mám pocit bezpečí s dvojím přihlášením + silnější hesla.
4. viz bod 1
5. no babo raď když jsem měl soubory napadené( před admin tools) tak bylo v obsahu poznat i nezkušeným pohledem co tam nepatří. Většinou první instalace je čistá tak od ní se odrážím.
6. 10 mailu za den =pohoda. V nastavení sablony mejlů jde sloučit mejly např 5 za hodinu do jednoho. to je ještě potřeba v nastaveni firewallu zatrhnout (zaznamy a výkazy dole).
7. to se mi nepodařilu mám asi štestí snažím se používat minimum doplňků.
Ještě k tomu blokování pokud zůstane adresa uvedena jako událost (zaznamy bez. vyjímek) musí se máznout i tam nestačí ji vyhodit z dočasného blokování nebo blokovaných adres. Ona totíž je tím stále plněna podmínka pro to blokování. (tj třeba 3x za hodinu špatný login ban na den.)
Moc se mi líbí geo blok, když odfiltruju asii rusko ameriky, tak mám spoutu volného času odrážet ataky od francouzů a rumunů (v mém případě).
Poděkovali: Vráťa
19. říj 2016 10:34 #128829
Odpověď od Cony

Moderátor
ad 1/ Možností je více, záleží na tom jak jste paranoidní
Počínaje blokování administrace heslem, tajným parameterem (tj. aby se administrace spustila je třeba zadat např administrator?tajneheslo), vlastní adresou administrace (podobná funkčnost jako u tajného parametru), blokování času přístupu do administrace (tedy např. od půlnoci do 6 ráno tam nikdy nechodím), dvoufázové ověření atd... Osobně za nejdůležitější považuji nastavení "Blokování stálých útočníků" tj. např. po 3 výjimkách za minutu zablokovat na 15 minut a po třech takovýchto blokováních zablokovat IP na stálo. V kombinaci s "Považovat neúspěšné přihlášení za bezpečností výjimku" to zablokuje většinu pokusů o útok. Za zvážení pak stojí i možnost "Zakázat přihlášení super správců do veřejné části"
2/ Je to asi jedno, roboti opravdu obvykle jdou cíleně na adresu a vůbec neřeší jestli je tam Wordpress, Joomla nebo PHPMyAdmin, na druhou stranu tam odkazem dostanete i zvýdavce, který si řeknou, tak se zkusím přihlásit
3/ To je v pořádku, viz popis k tomu nastavení. Princip je takový, že pokud člověk zadá /tajneurl "odemkne" se mu adresa /administrator, a dál administruje již klasicky. Pokud zadá jen /administrator bez předchozího /tajneurl dojde k přesměrování na frontpage webu.
4/ Opět podle toho jak jste paranoidní
5/ Kontrola souborů je dobrá hlavně v tom, že Vám nahlásí změny. Tzn. pokud jí spustíte a najdete změněné soubory, kde jste si jistý, že jste nic neaktualizoval, je třeba zbystřit. Zda se jedná opravdu o škodlivý kód - na to už je asi potřeba opravdu nějakých znalostí, ale je to primárně vodítko. Nedocenitelné je to v okamžiku, kdy je web opravdu napaden - jednoduše si vyjedete napadené (změněné) soubory. Někdo si změny nechává kontrolovat automatem, a má tak každý den jistotu, že se nic neměnilo...
6/ Maily jsou vhodné hlavně zpočátku, aby jste si ověřil, že jste něco nepřekombinoval. Pak už je obvykle vypínám a jen kontroluji občas výpis v administraci. Dá se zapnout seskupování mailů, pak by jich mělo chodit míň.
7/ Čím míň výjimek tím samozřejmě líp. Obecně by rozšíření měla co nejvíce používat, právě kvůli bezpečnosti přístup přes framework. To že je rozšíření na JED ještě není zárukou toho, že je dobře napsané. Použití cache pro obrázky je trochu sporné. Hodně pluginů právě cache používá, už jen proto, že se dá z administrace pročistit kliknutím na tlačítko a nechat tak náhledy přegenerovat. Nicméně je pravda, že hodně lidí kolem Joomly tvrdí, že na náhledy by měl být adresář /media.

2/ Je to asi jedno, roboti opravdu obvykle jdou cíleně na adresu a vůbec neřeší jestli je tam Wordpress, Joomla nebo PHPMyAdmin, na druhou stranu tam odkazem dostanete i zvýdavce, který si řeknou, tak se zkusím přihlásit

3/ To je v pořádku, viz popis k tomu nastavení. Princip je takový, že pokud člověk zadá /tajneurl "odemkne" se mu adresa /administrator, a dál administruje již klasicky. Pokud zadá jen /administrator bez předchozího /tajneurl dojde k přesměrování na frontpage webu.
4/ Opět podle toho jak jste paranoidní

5/ Kontrola souborů je dobrá hlavně v tom, že Vám nahlásí změny. Tzn. pokud jí spustíte a najdete změněné soubory, kde jste si jistý, že jste nic neaktualizoval, je třeba zbystřit. Zda se jedná opravdu o škodlivý kód - na to už je asi potřeba opravdu nějakých znalostí, ale je to primárně vodítko. Nedocenitelné je to v okamžiku, kdy je web opravdu napaden - jednoduše si vyjedete napadené (změněné) soubory. Někdo si změny nechává kontrolovat automatem, a má tak každý den jistotu, že se nic neměnilo...
6/ Maily jsou vhodné hlavně zpočátku, aby jste si ověřil, že jste něco nepřekombinoval. Pak už je obvykle vypínám a jen kontroluji občas výpis v administraci. Dá se zapnout seskupování mailů, pak by jich mělo chodit míň.
7/ Čím míň výjimek tím samozřejmě líp. Obecně by rozšíření měla co nejvíce používat, právě kvůli bezpečnosti přístup přes framework. To že je rozšíření na JED ještě není zárukou toho, že je dobře napsané. Použití cache pro obrázky je trochu sporné. Hodně pluginů právě cache používá, už jen proto, že se dá z administrace pročistit kliknutím na tlačítko a nechat tak náhledy přegenerovat. Nicméně je pravda, že hodně lidí kolem Joomly tvrdí, že na náhledy by měl být adresář /media.
Poděkovali: Vráťa
04. led 2017 14:45 #129745
Odpověď od Martin70

Zkušený uživatel
Nevíte někdo, kde v AdminTools přenastavím toto?: Nemáte oprávnění použít k přímému přístupu na stránky tento odkaz (#128). Děje se to při opakovaném pokusu editovat stejný článek. A já se musím odhlásit z administrace, znova přihlásit a zas to jde. Prostě uložím článek a pokud ho chci znovu otevřít, nejde to. Ale ihned po odhlášení a přihlášení (což jsou cca 2 sec.) to zase jde. Ale zas jen jednou. Pokud mezi tím edituju jiné články tak to pak myslím jde. Prostě nejde stejný článek otevřít 2x ihned za sebou.
Tuším že to bude někde buď v nastavení Firewall nebo event. htaccess ale jsou tam mraky položek a nevím, která to je.
Děkuji. Martin
Tuším že to bude někde buď v nastavení Firewall nebo event. htaccess ale jsou tam mraky položek a nevím, která to je.
Děkuji. Martin
04. led 2017 14:51 #129746
Odpověď od Cony

Moderátor
To nemá s admin tools co dělat, je to nějaký problém Joomly, občas na to někde narazím, ale zatím se mi nepovedlo zjistit pravidlo kdy se to děje.
04. led 2017 14:57 #129747
Odpověď od Martin70

Zkušený uživatel
Aha. Já myslel že je to nějaká ochrana AdminTools, dělá mi to u více webů ale určitě ne u všech. Díky, to jsem netušil. V každém případě je to ale vopruz, pokud tvořím web.
04. led 2017 15:57 #129748
Odpověď od Cony

Moderátor
Občas se mi to stane, mám pocit že to souvisí s Chrome, v jiných prohlížečích se mi to tuším neděje.
04. led 2017 21:02 #129752
Odpověď od Houbák
Zkušený uživatel
Také s tím nemám zkušenost, ale je to zajímavé. Nemáte možnost udělat kopii webu na stejném hostingu, že bych se na to podíval?
05. led 2017 01:59 #129757
Joomla úřední deska | IT služby, webové stránky v Joomla!, online marketing | Joomla je best! Zveřejni svůj problém, pokud ho vyřešíš sám, jsi best!
Odpověď od Cufe

Admin
Je to určitě problém Google Chrome. Možná zkusit novější verzi prohlížeče, ale nemám ověřeno.
Joomla úřední deska | IT služby, webové stránky v Joomla!, online marketing | Joomla je best! Zveřejni svůj problém, pokud ho vyřešíš sám, jsi best!
05. led 2017 06:11 #129758
Odpověď od Martin70

Zkušený uživatel
Vyzkouším. Je to možné, Chrome mám skutečně starší, protože kvůli RIPu k tiskárně mám cca 5 let starý systém Mac OS X 10.6.3. a tudíž i starší Chrome. Konkrétně mám verzi 49.0.2623.112 (64-bit). Máme tu i jedno obyč. PC s Win 7, tak to zkusím.
05. led 2017 06:43 - 05. led 2017 06:57 #129759
Odpověď od Martin70

Zkušený uživatel
1) Teď jsem namátkově zkoušel 6 webů - vše na svém počítači se starším Chromem. Tři weby OK (kde nemám AdminTools) a tři weby, kde JSOU AdminTools, hlásí tu chybu.
2) Dělá to i aktuální Chrome (55.0...) na Win 7 (zkusil jsem 2 weby)
3) Firefox na Win7 ani na mém Mac OS X 10.6.3 to NEDĚLÁ!!
Takže za mě je závěr, že to způsobuje kombinace AdminTools a Chrome. Což samozřejmě nevylučuje to, že mám něco v AdminTools blbě nastavené a Chromu to vadí a Firefoxu to nevadí.
P.S.: za chybovým hlášením v závorce (#128) není kód chyby, ale vždy ID článku. A netýká se to pouze článků, je to i u modulů a dalších věcí.
P.S.: teď mě ještě napadlo - všechny šablony používám od Joomshaper.com - tak mě ještě napadlo, jestli tam nemůže být nějaký "systémový" bordel.
Další poznatek: Na jednom webu mám sice AdminTools, ale jen instalace bez dalšího nastavení (ani jsem neprošel průvodce základního nastavení AdminTools. A ZDE TO NEDĚLÁ. Takže zřejmě opravdu je nějaká věc v AdminTools, která se nelíbí Chromu.
2) Dělá to i aktuální Chrome (55.0...) na Win 7 (zkusil jsem 2 weby)
3) Firefox na Win7 ani na mém Mac OS X 10.6.3 to NEDĚLÁ!!
Takže za mě je závěr, že to způsobuje kombinace AdminTools a Chrome. Což samozřejmě nevylučuje to, že mám něco v AdminTools blbě nastavené a Chromu to vadí a Firefoxu to nevadí.
P.S.: za chybovým hlášením v závorce (#128) není kód chyby, ale vždy ID článku. A netýká se to pouze článků, je to i u modulů a dalších věcí.
P.S.: teď mě ještě napadlo - všechny šablony používám od Joomshaper.com - tak mě ještě napadlo, jestli tam nemůže být nějaký "systémový" bordel.
Další poznatek: Na jednom webu mám sice AdminTools, ale jen instalace bez dalšího nastavení (ani jsem neprošel průvodce základního nastavení AdminTools. A ZDE TO NEDĚLÁ. Takže zřejmě opravdu je nějaká věc v AdminTools, která se nelíbí Chromu.
05. led 2017 13:51 #129764
Odpověď od radek
Zkušený uživatel
Pouzivam posledni Admin Tools i posledni Chrome a zadny problemy nemam.
05. led 2017 15:55 #129765
Odpověď od Cony

Moderátor
Už se to tu kdysi řešilo, pokud si dobře pamatuji. Nesouvisí to s Admin Tools ale opravdu s kombinací Chrome + určité servery. Tuším že tam byl jakýsi problém, že v určité okamžiky Chrome nějak navíc přesměrovával, nebo posílal požadavek navíc. Pokud si vybavuji, dělá mi to vždy Chrome, i na webech bez Admin Tools, ale jen na některých hostinzích. Aktuálně mám téměř vše na jednom hostingu, kde se to ale neděje (Admin Tools mám všude).
05. led 2017 16:06 #129766
Odpověď od Cony

Moderátor
V originále ta hláška zní
A je to řešeno např. zde . Je to v souvislosti s více faktory, jedním z nich je Chrome. Admin Tools s tím nesouvisejí, na této úrovni nic neblokují.
You are not permitted to use that link to directly access that page (#%d).
A je to řešeno např. zde . Je to v souvislosti s více faktory, jedním z nich je Chrome. Admin Tools s tím nesouvisejí, na této úrovni nic neblokují.