PhpMyFAQ 3.1.8 Benutzerverwaltung FAQ erstellen kein Zugriff

[cobra98]

Auf einem Plesk Apache System

Ubuntu 20.04.5 LTS

wurde 3.1.8 installiert, alles geht bis auf der Zugriff zu Userverwaltung wie auch
FAQ Beitrag erstellen

https://faq.xxx.at/admin/?action=user
https://faq.xxx.at/admin/?action=editentry

"Forbidden
You don't have permission to access this resource.

Apache Server at faq.barth-company.at Port 443"

im Protokoll scheint auf

Code: Select all

403	GET /admin/?action=user HTTP/1.0

[client xx.xx.xx.xx] ModSecurity: Access denied with code 403 (phase 4). Match of "rx \\\\ssrc=\\\\x22https:\\\\/\\\\/www\\\\.googletagmanager\\\\.com\\\\/ns\\\\.html\\\\?id=GTM|\\\\ssrc=\\\\x22https:\\\\/\\\\/w\\\\.soundcloud\\\\.com\\\\/player\\\\/\\\\?url=" against "TX:0" required. [file "/etc/apache2/modsecurity.d/rules/comodo_free/19_Outgoing_FilterInFrame.conf"] [line "14"] [id "214540"] [rev "5"] [msg "COMODO WAF: Possibly malicious iframe tag in output||faq.xx.at|F|3"] [data "Matched Data: <iframe id=\\x22keepPMFSessionAlive\\x22 src=\\x22session.keepalive.php?lang=de\\x22 width=\\x220\\x22 height=\\x220\\x22\\x0a style=\\x22display: none found within TX:0: <iframe id=\\x22keepPMFSessionAlive\\x22 src=\\x22session.keepalive.php?lang=de\\x22 width=\\x220\\x22 height=\\x220\\x22\\x0a style=\\x22display: none"] [severity "ERROR"] [tag "CWAF"] [tag "FilterInFrame"] [hostname "faq.xx.at"] [uri "/admin/index.php"] [unique_id "Y3VC61sUI-7v1ZuRc@P3VwAAAAE"], referer: https://faq.barth-company.at/admin/?action=system

[client xx.xx.xx.xx] ModSecurity: Warning. Operator GE matched 4 at TX:outgoing_points. [file "/etc/apache2/modsecurity.d/rules/comodo_free/20_Outgoing_FiltersEnd.conf"] [line "38"] [id "214940"] [rev "2"] [msg "COMODO WAF: Outbound Points Exceeded| Total Points: 4|faq.xx.at|F|2"] [severity "CRITICAL"] [tag "CWAF"] [tag "FiltersEnd"] [hostname "faq.xx.at"] [uri "/admin/index.php"] [unique_id "Y3VC61sUI-7v1ZuRc@P3VwAAAAE"], referer: https://faq.xx.at/admin/?action=system

404	GET /admin/requestProvider.js.map HTTP/1.0
404	GET /favicon.ico HTTP/1.0

Berechtigungen für attachments,images,data,config wurden auf 775 gesetzt, bei der Installation war dies auf 777.

Irgendwelche Ideen was das Problem sein könnte?

Apache Module in Plesk, Php ist 7.4.33 und auch 8.1.12 probiert worden.



Folgende PHP Extensions sind laut PhpmyFAQ ersichtlich (Systeminfo):

Core, date, libxml, openssl, pcre, zlib, bz2, calendar, ctype, hash, filter, ftp, gettext, gmp, json, iconv, SPL, Reflection, session, standard, mbstring, SimpleXML, sockets, tokenizer, xml, cgi-fcgi, mysqlnd, bcmath, curl, dba, dom, enchant, fileinfo, gd, imagick, imap, intl, ldap, exif, mysqli, odbc, PDO, pdo_mysql, PDO_ODBC, pdo_pgsql, pdo_sqlite, pgsql, Phar, posix, pspell, redis, soap, sodium, sqlite3, sysvmsg, sysvsem, sysvshm, tidy, xmlreader, xmlwriter, xsl, zip, Zend OPcache

Database Server mysqli
Database Server Version 10.3.34-MariaDB-0ubuntu0.20.04.1
Database Client Version mysqlnd 8.1.12

PHP Version 8.1.12
Web server Interface FPM-FCGI

phpMyFAQ Version 3.1.8
phpMyFAQ API Version 2.1

[cobra98]

Nachtrag mit
https://faq.xxx.at/admin/index.php?action=user
https://faq.xxx.at/admin/index.php?action=editentry

geht es

Manuell hab ich bei Einstellungen für Apache & nginx manuell
Indexdateien von standard auf eigenen Wert

index.php index.html index.cgi index.pl index.xhtml index.htm index.shtml

gesetzt, server neu gestartet, cookies gelöscht.
Leider wird noch der Link falsch angezeigt.
Muss die Installation neu gemacht werden oder kann man es so irgendwie berreinigen?

in der htaccess ist folgendes hinterlegt auch

Code: Select all

##
# phpMyFAQ .htaccess file for Apache 2.x
#
# This Source Code Form is subject to the terms of the Mozilla Public License,
# v. 2.0. If a copy of the MPL was not distributed with this file, You can
# obtain one at http://mozilla.org/MPL/2.0/.
#
# @author    Thorsten Rinne <thorsten@phpmyfaq.de>
# @author    Patrick Preuster <sica@php-q.net>
# @author    Matteo Scaramuccia <matteo@scaramuccia.com>
# @copyright 2004-2022 phpMyFAQ Team
# @license   http://www.mozilla.org/MPL/2.0/ Mozilla Public License Version 2.0
# @link      https://www.phpmyfaq.de
# @since     2004-11-13

# always follow the symlinks
Options -MultiViews -Indexes 
#Options +FollowSymlinks -MultiViews -Indexes 

# X-Frame-Options to prevent clickjacking
Header always append X-Frame-Options SAMEORIGIN

# Set cache control
<filesMatch ".(ico|pdf|flv|jpg|jpeg|png|gif|js|css|swf)$">
    Header set Cache-Control "max-age=84600, no-store"
    Header set Pragma "no-cache"
</filesMatch>


# if you want to use mod_rewrite, set this 'On'
RewriteEngine On

<IfModule mod_fcgid.c>
    RewriteCond %{HTTP:Authorization} .
    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
</IfModule>

# the path to your phpMyFAQ installation
RewriteBase /

# Error pages
ErrorDocument 404 /index.php?action=404

# show all categories
RewriteCond %{REQUEST_URI}          /showcat\.html$ [NC]
RewriteRule ^(.*)$                  index.php?action=show [L,QSA]

# the search page
RewriteCond %{REQUEST_URI}          /search\.html$ [NC]
RewriteRule ^(.*)$                  index.php?action=search [L,QSA]

# the add content page
RewriteCond %{REQUEST_URI}          /addcontent\.html$ [NC]
RewriteRule ^(.*)$                  index.php?action=add [L,QSA]

# the ask question page
RewriteCond %{REQUEST_URI}          /ask\.html$ [NC]
RewriteRule ^(.*)$                  index.php?action=ask [L,QSA]

# the open questions page
RewriteCond %{REQUEST_URI}          /open-questions\.html$ [NC]
RewriteRule ^(.*)$                  index.php?action=open-questions [L,QSA]

# the help page
RewriteCond %{REQUEST_URI}          /help\.html$ [NC]
RewriteRule ^(.*)$                  index.php?action=help [L,QSA]

# the contact page
RewriteCond %{REQUEST_URI}          /contact\.html$ [NC]
RewriteRule ^(.*)$                  index.php?action=contact [L,QSA]

# the glossary page
RewriteCond %{REQUEST_URI}          /glossary\.html$ [NC]
RewriteRule ^(.*)$                  index.php?action=glossary [L,QSA]

# the overview page
RewriteCond %{REQUEST_URI}          /overview\.html$ [NC]
RewriteRule ^(.*)$                  index.php?action=overview [L,QSA]

# the login page
RewriteCond %{REQUEST_URI}          /login\.html$ [NC]
RewriteRule ^(.*)$                  index.php?action=login [L,QSA]

# start page
RewriteRule ^index.html$            index.php [PT]

# a solution id page
RewriteCond %{REQUEST_URI}              solution_id_([0-9]+)\.html$ [NC]
RewriteRule ^solution_id_(.*)\.html$    index.php?solution_id=$1 [L,QSA]

# PMF faq record page
# * http://[...]/content/1/1/<LANGUAGE CODE>/<FAQ TOPIC>.htm
# * http://[...]/content/1/1/<LANGUAGE CODE>/<FAQ TOPIC>.html
RewriteRule content/([0-9]+)/([0-9]+)/([a-z\-]+)/(.+)\.htm(l?)$     index.php?action=faq&cat=$1&id=$2&artlang=$3 [L,QSA]

# PMF category page with page count
# * http://[...]/category/1/<PAGE NUMBER/<CATEGORY NAME>.htm
# * http://[...]/category/1/<PAGE NUMBER/<CATEGORY NAME>.html
RewriteRule category/([0-9]+)/([0-9]+)/(.+)\.htm(l?)$               index.php?action=show&cat=$1&seite=$2 [L,QSA]

# PMF category page
# * http://[...]/category/1/<CATEGORY NAME>.htm
# * http://[...]/category/1/<CATEGORY NAME>.html
RewriteRule category/([0-9]+)/(.+)\.htm(l?)$                        index.php?action=show&cat=$1 [L,QSA]

# PMF news page
# * http://[...]/news/<ID>/<LANGUAGE CODE>/<HEADER>.htm
# * http://[...]/news/<ID>/<LANGUAGE CODE>/<HEADER>.html
RewriteRule news/([0-9]+)/([a-z\-]+)/(.+)\.htm(l?)$                 index.php?action=news&newsid=$1&newslang=$2 [L,QSA]

# PMF sitemap
# * http://[...]/sitemap/<LETTER>/<LANGUAGE CODE>.htm
# * http://[...]/sitemap/<LETTER>/<LANGUAGE CODE>.html
RewriteRule sitemap/([^\/]+)/([a-z\-]+)\.htm(l?)$                   index.php?action=sitemap&letter=$1&lang=$2 [L,QSA]

# PMF Google sitemap
# * http://[...]/sitemap.xml
# * http://[...]/sitemap.gz
# * http://[...]/sitemap.xml.gz
RewriteRule sitemap.xml$                                            sitemap.xml.php [L]
RewriteRule sitemap.gz$                                             sitemap.xml.php?gz=1 [L]
RewriteRule sitemap.xml.gz$                                         sitemap.xml.php?gz=1 [L]

# PMF tags page with page count
# * http://[...]/tags/<ID>/<PAGE NUMBER>/<HEADER>.htm
RewriteRule tags/([0-9]+)/([0-9]+)/(.+)\.htm(l?)$                   index.php?action=search&tagging_id=$1&seite=$2 [L,QSA]

# PMF tags page
# * http://[...]/tags/<ID>/<HEADER>.htm
RewriteRule tags/([0-9]+)/([^\/]+)\.htm(l?)$                        index.php?action=search&tagging_id=$1 [L,QSA]

# REST API v2.0
# * http://[...]/api/v2.0/<ACTION>
RewriteRule api/v2.0/version                       api.php?action=version [L,QSA]
RewriteRule api/v2.0/language                      api.php?action=language [L,QSA]
RewriteRule api/v2.0/categories                    api.php?action=categories [L,QSA]
RewriteRule api/v2.0/searches/popular              api.php?action=searches&filter=popular [L,QSA]
RewriteRule api/v2.0/search                        api.php?action=search [L,QSA]
RewriteRule api/v2.0/tags                          api.php?action=tags [L,QSA]
RewriteRule api/v2.0/open-questions                api.php?action=open-questions [L,QSA]
RewriteRule api/v2.0/comments/([0-9]+)             api.php?action=comments&recordId=$1 [L,QSA]
RewriteRule api/v2.0/attachments/([0-9]+)          api.php?action=attachments&recordId=$1 [L,QSA]
RewriteRule api/v2.0/news                          api.php?action=news [L,QSA]
RewriteRule api/v2.0/login                         api.php?action=login [L,QSA]
RewriteRule api/v2.0/faqs/([0-9]+)                 api.php?action=faqs&categoryId=$1 [L,QSA]
RewriteRule api/v2.0/faqs/popular                  api.php?action=faqs&filter=popular [L,QSA]
RewriteRule api/v2.0/faqs/latest                   api.php?action=faqs&filter=latest [L,QSA]
RewriteRule api/v2.0/faqs/sticky                   api.php?action=faqs&filter=sticky [L,QSA]
RewriteRule api/v2.0/faqs/tags/([0-9]+)            api.php?action=faqs&tagId=$1 [L,QSA]
RewriteRule api/v2.0/faqs                          api.php?action=faqs [L,QSA]
RewriteRule api/v2.0/faq/([0-9]+)/([0-9]+)         api.php?action=faq&categoryId=$1&recordId=$2 [L,QSA]

# REST API v2.1
# * http://[...]/api/v2.1/<ACTION>
RewriteRule api/v2.1/version                       api.php?action=version [L,QSA]
RewriteRule api/v2.1/language                      api.php?action=language [L,QSA]
RewriteRule api/v2.1/categories                    api.php?action=categories [L,QSA]
RewriteRule api/v2.1/searches/popular              api.php?action=searches&filter=popular [L,QSA]
RewriteRule api/v2.1/search                        api.php?action=search [L,QSA]
RewriteRule api/v2.1/tags                          api.php?action=tags [L,QSA]
RewriteRule api/v2.1/open-questions                api.php?action=open-questions [L,QSA]
RewriteRule api/v2.1/comments/([0-9]+)             api.php?action=comments&recordId=$1 [L,QSA]
RewriteRule api/v2.1/attachments/([0-9]+)          api.php?action=attachments&recordId=$1 [L,QSA]
RewriteRule api/v2.1/news                          api.php?action=news [L,QSA]
RewriteRule api/v2.1/login                         api.php?action=login [L,QSA]
RewriteRule api/v2.1/faqs/([0-9]+)                 api.php?action=faqs&categoryId=$1 [L,QSA]
RewriteRule api/v2.1/faqs/popular                  api.php?action=faqs&filter=popular [L,QSA]
RewriteRule api/v2.1/faqs/latest                   api.php?action=faqs&filter=latest [L,QSA]
RewriteRule api/v2.1/faqs/sticky                   api.php?action=faqs&filter=sticky [L,QSA]
RewriteRule api/v2.1/faqs/tags/([0-9]+)            api.php?action=faqs&tagId=$1 [L,QSA]
RewriteRule api/v2.1/faqs                          api.php?action=faqs [L,QSA]
RewriteRule api/v2.1/faq/([0-9]+)/([0-9]+)         api.php?action=faq&categoryId=$1&recordId=$2 [L,QSA]
RewriteRule api/v2.1/faq                           api.php?action=faq [L,QSA]
RewriteRule api/v2.1/register                      api.php?action=register [L,QSA]

Bei der Installation stand noch

Code: Select all

Deprecated: mysqli::real_escape_string(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/barth-company.at/faq.barth-company.at/src/phpMyFAQ/Database/Mysqli.php on line 125

aber auch "Wow, looks like the installation worked like a charm. This is pretty cool, isn't it? "

[Thorsten]

Hi,

den Link kannst du in der Konfiguration im Adminbereich korrigieren.

Die Deprecation fixe ich, ist aber nur eine Warning.

bye
Thorsten

[cobra98]

Wo genau kann ich das ändern?
Meinst du "URL der FAQ (zB https://www.example.org/faq/)" das ist nur die Startseite und hat nichts mit der Navigation glaub ich zu tun.

Andere Menü Punkte gehen ja ohne Probleme

zB
https://faq.xxx.at/admin/?action=group
funktioniert aber zB Seite erstellen und Benutzer scheint nur mit dem Zusatz index.php zu klappen wie gesagt.
Andere Version eventuell installieren Developer?

[Thorsten]

Hi,

sorry, jetzt hab ich das Problem verstanden. Hast du folgendes im Apache gesetzt?

Code: Select all

<IfModule dir_module>
    DirectoryIndex index.html index.php
</IfModule>

bye
Thorsten

[cobra98]

Muss nicht php vorher sein?
Unter Plesk ist dies für jede Seite einzeln zu definieren mittels
Einstellungen für Apache & nginx



Hab ich das so definiert manuell.

Bei .htaccess hab ich nun

Options +FollowSymlinks -MultiViews -Indexes
verwenden können nach Anpassungen durch den Plesk Support.

"Fähigkeit, symbolischen Verknüpfungen zu folgen, einschränken" hab ich deaktiviert auch.

Kann es irgendwie nicht nachvollziehen

https://faq.xxx/admin/?action=user geht nicht, sondern nur manuell
https://faq.xxx.at/admin/index.php?action=user

aber
https://faq.xxx.at/admin/?action=group geht zB ohne Probleme

es betrifft nur
https://faq.xxx.at/admin/?action=user
https://faq.xxx.at/admin/?action=editentry
https://faq.xxx.at/admin/?action=instances

im Menü.

404 GET /admin/requestProvider.js.map HTTP/1.0

Deshalb die Frage ob ein Downgrade auf Developer eventuell sinnvoller ist bzw.
was ich ändern kann damit es funktioniert.

Auch wenn ich .htaccess umbenenne zB test.htaccess und die Seiten neu lade kommt der Fehler
"Forbidden
You don't have permission to access this resource." 403

403 GET /admin/?action=user HTTP/1.0

bei zB group sieht es so im Protokoll aus
200 GET /admin/?action=group HTTP/1.0
200 GET /admin/assets/js/groups.js HTTP/1.0
200 GET /admin/index.php?action=ajax&ajax=group&ajaxaction=get_all_users HTTP/2.0
200 GET /admin/index.php?action=ajax&ajax=group&ajaxaction=get_all_groups HTTP/2.0

und die Seite geht ja, eventuell doch ein Fehler im Code?
Es betrifft nur die 3 erwähnten Punkte im Menü

Php 8.1.1.2 und FPM Anwendung Apache ist eingestellt

und wie gesagt die lange Mod Security Meldung scheint immer auch auf im Protokoll
...
ModSecurity: Access denied with code 403 (phase 4). Match of "rx \\\\ssrc=\\\\x22https:\\\\/\\\\/www\\\\.googletagmanager\\\\.com\\\\/ns\\\\.html\\\\?id=GTM|\\\\ssrc=\\\\x22https:\\\\/\\\\/w\\\\.soundcloud\\\\.com\\\\/player\\\\/\\\\?url=" against "TX:0" required. [file "/etc/apache2/modsecurity.d/rules/comodo_free/19_Outgoing_FilterInFrame.conf"] [line "14"] [id "214540"] [rev "5"] [msg "COMODO WAF: Possibly malicious iframe tag in output||faq.xxx.at|F|3"] [data "Matched Data: <iframe id=\\x22keepPMFSessionAlive\\x22 src=\\x22session.keepalive.php?lang=de\\x22 width=\\x220\\x22 height=\\x220\\x22\\x0a style=\\x22display: none found within TX:0: <iframe id=\\x22keepPMFSessionAlive\\x22 src=\\x22session.keepalive.php?lang=de\\x22 width=\\x220\\x22 height=\\x220\\x22\\x0a style=\\x22display: none"] [severity "ERROR"] [tag "CWAF"] [tag "FilterInFrame"]

[Thorsten]

Hi,

kannst du mal mod_security deaktivieren?

Der Zugriff auf /admin/requestProvider.js.map ist nicht von phpMyFAQ, das liegt wohl an einem Chrome-Plugin, siehe auch https://github.com/craftcms/cms/issues/10476

bye
Thorsten

[cobra98]

Geht jetzt

Lösung war das die ModSecurity zu streng eingestellt war von comodo und dieses Verhalten auslöste

[Thorsten]

HI,

sehr schön!

bye
Thorsten