Joomla.it Forum
Non solo Joomla... => Sicurezza => Topic aperto da: armata22 - 04 Feb 2009, 14:10:01
-
Salve
no riesco a capire forse una cosa banalissima
ho messo settato nella configurazione la cartella dei logs al percorso voluto, ma all'interno non trovo nessun file di logs ma solo nun index.html come posso abilitare i logs che mi permettano di avere un controllo sulle attività svolte sul cms, come gli accessi?
grazie
-
Cioè hai settato la variabile var $log_path ?
il percoso è assoluto, cioè di tipo /home/user/public_html/logs...?
La cartella è scrivibile?
-
Cioè hai settato la variabile var $log_path ?
il percoso è assoluto, cioè di tipo /home/user/public_html/logs...?
La cartella è scrivibile?
allora nel pannello di amministrazione ho messo la cartella logs devo cambiare qualcosa o attivare i logs da un file preciso?
facciamo prima come posso attivare i logs? grazie si tutte le cartelle sono scrivibile
-
in file configuration.php
var $log_path = 'logs/';
la cartella esiste ed è settata con permessi 775
-
Non credo che 'logs/' vada bene... dovrebbe essere un percorso assoluto, quindi iniziare con una "/"
Se [siteroot]è il nome della cartella dove sono i file del tuo sito, avrai:
- /home/[siteroot]/public_html/logs se si tratta di hosting
- /var/www/[siteroot]/logs per la maggior parte dei sitemi locali
Comunque, connettiti con un progamma di FTP, la cerchi e vedi il percorso...
-
Non credo che 'logs/' vada bene... dovrebbe essere un percorso assoluto, quindi iniziare con una "/"
Se [siteroot]è il nome della cartella dove sono i file del tuo sito, avrai:
- /home/[siteroot]/public_html/logs se si tratta di hosting
- /var/www/[siteroot]/logs per la maggior parte dei sitemi locali
Comunque, connettiti con un progamma di FTP, la cerchi e vedi il percorso...
scusami ancora ma io devo cambiare il percorso in file configuration php o nel back end ???
o è uguale cioè se cambio nel back-end dovrebbe cambiare il file configuration.php giusto??
dunque mi sta dicendo che il percorso che è su un server aziendale dunque ha la tipologia var/www/ecc devo mettere questo indirizzo qui nel nack-end giusto?? grazie
-
Non credo che 'logs/' vada bene... dovrebbe essere un percorso assoluto, quindi iniziare con una "/"
Se [siteroot]è il nome della cartella dove sono i file del tuo sito, avrai:
- /home/[siteroot]/public_html/logs se si tratta di hosting
- /var/www/[siteroot]/logs per la maggior parte dei sitemi locali
Comunque, connettiti con un progamma di FTP, la cerchi e vedi il percorso...
scusami ancora ma io devo cambiare il percorso in file configuration php o nel back end ???
o è uguale cioè se cambio nel back-end dovrebbe cambiare il file configuration.php giusto??
dunque mi sta dicendo che il percorso che è su un server aziendale dunque ha la tipologia var/www/ecc devo mettere questo indirizzo qui nel nack-end giusto?? grazie
ok cambiato il path
con var/www/[nomesito]/logs
ma ora ho fatto visita al sito ma non crea nessun tipo di file... qualcuno mi sa dire come si attivano o dove potrebbe essere il problema?
sarebbe abbastanza importante grazie
-
In effetti, la sezione "configurazione generale" del backend scrive direttamente i dati sul configuration.php, quindi è uguale. Ognuno sceglie il sitema che più gli aggrada.
Il percorso assoluto te lo deve dire l'amministratore del sistema, sai che Linux può essere installato in mille modi diversi...
In pratica, l'amministratore ti dirà il percorso sul server del folder principale del sito (ad es. /var/www/public_html) e tu ci aggiungi il folder dove vuoi che siano registrati i file di log (nell'esempio precedente /var/www/public_html/logs)
Fai la stessa cosa con il path della tmp, mi raccomando, è importante.
P.S.: il settaggio a 775 dei permessi è un po' strano, se non funziona a 755 dovresti passare direttamente a 777...
-
In effetti, la sezione "configurazione generale" del backend scrive direttamente i dati sul configuration.php, quindi è uguale. Ognuno sceglie il sitema che più gli aggrada.
Il percorso assoluto te lo deve dire l'amministratore del sistema, sai che Linux può essere installato in mille modi diversi...
In pratica, l'amministratore ti dirà il percorso sul server del folder principale del sito (ad es. /var/www/public_html) e tu ci aggiungi il folder dove vuoi che siano registrati i file di log (nell'esempio precedente /var/www/public_html/logs)
Fai la stessa cosa con il path della tmp, mi raccomando, è importante.
P.S.: il settaggio a 775 dei permessi è un po' strano, se non funziona a 755 dovresti passare direttamente a 777...
diciamo che ho anche l'accesso ssh dunque la directory è /var/www/sito/logs
per temp ho messo /var/www/sito/tmp che in ssh questo è il loro percorso sbaglio qualcosa o forse mi sfugge un particolare?
in cartella tmp non ho niente è normale o forse sbaglio qualcosa che faccia in modo che tmp e logs non hanno niente?
-
anzi la cartella tmp dovrebbe funzionare correttamente che intanto ho installato il componente joomlawatch e usertrace ed effettivamente ha lavorato sulla cartella tmp, la data di ultima modifica mi da oggi alle ore 11.00
dunque non capisco ora perche non crea nessun file di logs ma dovrò attivarlo? uffa! :(
-
Guarda, anch'io ho una domanda per chi vede questi post:"Ma Joomla crea i file di log?" non ne ho neanche uno, su nessuno dei miei siti... scusa ma non ci avevo mai fatto caso...
-
Guarda, anch'io ho una domanda per chi vede questi post:"Ma Joomla crea i file di log?" non ne ho neanche uno, su nessuno dei miei siti... scusa ma non ci avevo mai fatto caso...
;D lol
Ragazzi qualcuno ci può aiutare??? grazie
-
insomma qui nessuno usa i log nel proprio spazio web????
possibile mai!!!
-
Onestamente, non me ne sono mai preoccupato.
Ma tu, di preciso, cosa speri di trovare nel file di log? credo che tenga conto solo degli utenti che si sono collegati dal frontend, o no?
-
ed è esattamente quello che mi serve ;D
devo controllare o sapere gli utenti cosa hanno visitato.
in un file per ora ho messo usertrace e joomlawatch ma mi servirebbe una cosa del genere ma che lo scriva in un file...ovvero un file di log.
non riesco a credere che qui nel forum nessuno usa i log
-
Qualcuno ci può aiutare sulla installazione o visualizzazione di questi benedetti file LOG IN JOOMLA! ????
grazie
-
upettino per una questione importante ;D
-
Visto che dal 15 dicembre è obbligatorio, per legge, conservare traccia degli accessi, una risposta a tale quesito sarebbe davvero importante altrimenti come nel mio caso si renderebbe necessario l'utilizzo di un altro cms.
Grazie.
-
un momento, la scadenza del 15 dicembre non riguarda(va) tutti i siti web, solo i siti che trattano dati personali...
comunque meglio verificare sempre caso per caso.
Va anche precisato che non è vero che occorre monitorare gli utenti, l'amministratore di sistema devi monitorare gli accessi degli altri amministratori sia che siano dipendenti della "ditta" e sia che siano outsourcer..
così ad esempio potrà accadere che un utente joomla manager (amministratore di sistema ma non del sito) dovrà monitorare gli accessi del superadmin (amministratore del sito ma non di sistema)
altro discorso poi per il database..
e qui casca l'asino perchè come farebbe joomla a monitorare gli accessi da phpmyadmin?
insomma premesso che credo che sia meglio non tenere in un sito determinate banche dati che rendono necessario un ADS e che questa è l'occasione per verificarlo in modo strettamente coerente, occorre valutare caso per caso se e cosa voglia dire materialmente monitorare gli accessi log ...
-
Hai creato una vulnerabilità e non una soluzione.
Quelle variabili prese dall'esterno sono vettori per iniezioni.
Joomla ha già un sistema di log e molti servizi hosting mettono a disposizione i log del tuo spazio facilmente accessibili dal cpanel
-
per la cronaca:
I log di joomla esistono, ultimamente di default nella cartella administrator/logs, ma registrano solo gli errori e non qualunque accesso.
Invece per quanto riguarda la tua richiesta di dimostrare la vulnerabilità e chi ha fatto l'osservazione, è una richiesta lecita, ma chiedere anche poi di trovare una soluzione non sta in piedi. Semmai spetterebbe a chi ha proposto lo script se davvero crea una vulnerabilità dimostrata, trovarla o ritirarlo..
-
--
-
Ascolta... stai facendo un baccano della madonna per cose straconosciute e che non dipendono da joomla; quello che fanno col tuo sito una volta bucato non rappresenta problemi diversi, il problema di partenza è sempre lo stesso: hai un sito vulnerabile.
Per la dimostrazione direi che sia inutile basta conoscere un minimo la programmazione per sapere che ci sono variabili globali che possono essere modificate a piacere... tu così vai a scriverle direttamente in un file. Ci sono hacker che passano ore per riuscire a fare questa cosa tu gliela permetti in un secondo ;)
per la soluzione migliore te la do subito: mantieni aggiornato joomla (vuol dire un ora dopo il rilascio non 1 settimana dopo) e non installare nulla di esterno. Poi se queste estensioni ti servono beh accetti dei rischi che nulla hanno a che fare con Joomla, magari dietro quelle estensioni ci sono pischelletti e non team organizzati
-
Chiedo all' Amministratore e al moderatore di separare dal topic originale le parti di discussione ora offtopic e di archiviarle e eliminarle.
Non do il consenso a ripubblicare i messaggi da me scritti.
Distinti saluti
-
Dalla veriosn 3.9 è possibile nel menù Utenti -> Log Azioni Utente...
Per una maggiore descrizione vedi qui (https://www.joomla.it/blog/8933-log-azioni-utente-joomla-privacy-tool-suite.html)
Ciao