In der letzten Zeit wurden ja des öffteren Angriffe auf den Adminbereich einiger vBulletin Boards verübt.

Mit diesem Hack könnt ihr im CP zusätzlich einen .htaccess Passwortschutz erzeugen.

Ab jetzt könnt ihr im rechten Frame vom CP (Control Panel Home) ganz unten den .htaccess Passwortschutz aktivieren indem ihr ALLE Eingaben dort macht.

Um den Schutz zu deaktivieren einfach die .htacess und die .htpasswd wieder löschen.

Screenshot:

http://216.40.240.19/hthack.jpg

Ich habe da vielleicht auch noch einen kleinen freeware tip ein php script das die htacess dateien erzeugt für einzelne benutzer oder auch richtige gruppen mit mehreren Benutzern.

firelooper

ich hab da mal ne frage:

ich habe das htaccess aus dem download bereich genommen, und den htaccess vors admin verzeichnis geschaltet. muss ich jetzt die "access.php" löschen? und die rechte wieder von 777 auf 755 zurückstellen? oder müssen die rechte nach aktivierung auf 777 so bleiben?

fälschlicherweise hab ich aus versehen zwei mal den access installiert, nun stand da was wie "htpasswd02 erzeugt", also muss es logischerweise pwd01 auch geben. wie lösch ich denn die dateien wieder mit zB flash FXP? ich finde die nämlich nicht.

danke

ich kenne den anderen Hack nicht, wenn die Passwortabfrage kommt (also das htaccess-fenster) dann ist alles OK, ob Du jetzt ide Datei löschen mußt kann ich Di rleider nicht sagen.

versuche es mal mit:
www.smartftp.com da kannste auch htaccess dateien sehen wenn es vom server her freigegeben ist

Da die Htaccess Datei und die zugehörige Schlüsseldatei versteckte Dateien sind werden diese in FTP Programmen (meistens ist in der Standardeinstellung ausgeschaltet) nicht angezeigt.
Entweder du suchst nach dem entsprechendem Schalter oder du nimmst ein entsprechendes Programm (ich bin Faul, Norton Commander verwöhnt und nutze einen Dateimanager mit integriertem FTP den Windows Commander (http://www.ghisler.com/deutsch.htm) ) bei diesem gibts unter dem Menüpunkt Netz sogar den Schalter "FTP versteckte Dateien anzeigen" genauso werden dir die chmod Zustände (wenn man das mal so definieren darf ;) ) im selben Fenster angezeigt.
Dieses ist keine Werbung nur eine einfache Möglichkeit.

:) :) Anke123 :) :)

danke, diese einstellung hab ich auch im flashFXP gefunden. ich weiss nur nicht ob ich die rechte auf 755 zurücksetzen soll, nach dem ich sie auf 777 (wegen installation) gesetzt habe.

Original geschrieben von magica
danke, diese einstellung hab ich auch im flashFXP gefunden. ich weiss nur nicht ob ich die rechte auf 755 zurücksetzen soll, nach dem ich sie auf 777 (wegen installation) gesetzt habe.

ich würde mal sagen, frage den autor vom anderen Hack aber im allemeinen sollte 755 schon reichen, aber frage mal lieber nach da ich den Hack nicht installiert habe.

danke, funzt einwandfrei :)

@Afterburner

Und schon wieder mal ein Danke von mir für einen weiteren Hack.
Wenn es so weiter geht, kann ich mein Board mit einen anderen Copyright versehen.

Copyright @ Afterburner :D

danke für die schmeichelei ;)

aber so viele hacks sind es ja eigendlich auch nicht

denke dran das das "Copyright ©2000 - 2002, Jelsoft Enterprises Limited" drin bleibt :p

Original geschrieben von Afterburner
... denke dran das das "Copyright ©2000 - 2002, Jelsoft Enterprises Limited" drin bleibt :p

Ist ja noch drinn. Nur wenn du so weiter super Arbeit leistest kann es raus ;)

Dazu hät ich mal eine frage.
Undzwar würd ich gern mehrere Benutzer festlegen die access auf des Verzeichnis haben sollen.

Im mom steht in der .htaccess folgendes
AuthType Basic
AuthName "vB Adminbereich"
AuthUserFile /is/htdocs/******/www.meinedomain.de/vb/admin/.htpasswd
<limit GET>
require user Datex
</limit>

Und in der .htpasswd
Datex:meinpasswort verschlüsselt/

Wie müsste es aussehen um mehr benutzer möglich zumachen ?

Hallo DaTeX

Wenn du einen eigenen Server hast oder zumindest einen Speicherplatz mit SSH, dann log dich ein und geh in das Verzeichnis wo die htpasswd liegt.

Dann gib ein:

htpasswd .htpasswd NeuerUsername

Dann kommt eine Abfrage nach dem Passwort, dass du 2 mal eingeben musst.


Wenn du kein SSH Zugang hast, die Datei aber mit FTP runter und wieder hochladen kannst, dann schreib einfach in die nächste Zeile ein neuen Usernamen:

Admin:hjasdKShdshkasdjk

Pro Zeile 1 Usernamen. Anstatt dem unleserlichen Code das verschlüsselte Passwort. Es gibt genug Tools die das können, entweder Windowsprogramme oder irgendwelche Eingabefelder auf homepages.

Noch 2 Tipps, beim 1. weiss ich nicht ob das nötig ist, mach ich aber immer:
Anstatt dein "<limit GET> require user ..." mach ich:

require valid-user

Dann muss man auf jedenfall ein Passwort eingeben.

2. Tipp:
Die .htpasswd in ein Verzeichnis legen wo du nicht per http drauf kommst. Am besten auch keins wo du FTP Zugriff hast (geht nur mit SSH Zugang).

Also sobald ich aus require user Datex, require valid-user mach bekomm ich keine passwort abfrage mehr. SSH zugang hab ich leider nicht.

Options -Indexes
AuthType Basic

AuthName "PHPMyAdmin"

AuthUserFile /usr/local/httpd/hansimwald/.htpasswd

require valid-user



Das ist der original Text aus meiner .htaccess Datei aus dem PHPMyAdmin Verzeichnis. Im vB Bereich genau 100% gleich.

Ich bin eh kein Freak-Checker-Chef-of-all-Linux, aber bisher ging das immer. Entweder hast du dich vertippt oder es geht auf deinem Speicher so nicht. Keine Ahnung.

Sorry mein fehler. Hatte bei verzeichnis zur .htpasswd einen / vergessen :rolleyes:

Jetzt klappt alles wunderbar.
Thx für die Hilfe

also irgendwie funzt der mit 2.3.0 nicht...

Parse error: parse error, unexpected '<' in /home2/xxx/public_html/admin/index.php on line 208

Dann solltest du mal Zeile 200-215 aus der admin/index.php hier quoten.

makelabelcode("<b>Grafiken</b> (Logo):","<a href=\"mailto:peter@nrg.be\">Peter Van den Wyngaert</a> ( <a href=\"http://www.nrg.be\" target=\"_blank\">NRG.BE</a> )");
maketableheader("Deutsche Übersetzung");
makelabelcode("<b>Koordination:</b>","
<a href=\"http://www.vbulletin-germany.com/forum/member.php?s=&action=getinfo&userid=1\" target=\"_blank\">Scott Molinari</a> ( <a href=\"http://www.adduco.de\" target=\"_blank\">Adduco digital</a> )");
makelabelcode("<b>Übersetzung:</b>","
<a href=\"http://www.vbulletin-germany.com/forum/member.php?s=&action=getinfo&userid=2\" target=\"_blank\">Stephan 'pogo' Pogodalla</a>,
<a href=\"http://www.vbulletin-germany.com/forum/member.php?s=&action=getinfo&userid=1\" target=\"_blank\">Scott Molinari</a>");
echo "</table></td></tr></table></form>\n";
// end credits
<-- Afterburner Start -->

<center>
<b>Um diesen Adminbereich per Passwort (htaccess) zu schützen,<br>geben Sie bitte hier ihren gewünschten Usernamen und Ihr Passwort ein.</b><br><br>
<form action="index.php" method="POST">
<input type="hidden" name="action" value="passwortspeichern">
<table border="0" cellspacing="0" cellpadding="1" width="90%" class="tblborder">
<tr>
<td>
<table cellspacing="1" cellpadding="4" border="0" width="100%">
<tr class="tblhead">
<td colspan="2" align="center"><b>Passwortschutz erzeugen (by Afterburner)</b></td>
</tr>

das ist 199-220

Du hast den Hack nicht richtig nach der Anleitung eingebaut.

Du hast diesen Part:<-- Afterburner Start -->

<center>
<b>Um diesen [usw.] eine Zeile zu früh eingebaut.

Mystics

...habe mich jetztauch mal dran versucht, alles gemacht wie beschrieben(666) , habe 2.2.8 noch aber bekomme diese Fehlermeldungen nachdem ich htaccess aktivieren möchte

Warning: fopen(/home/virtual/site7/fst/var/www/html/vbulletin/admin/.htaccess) [function.fopen]: failed to create stream: No such file or directory in /home/virtual/site7/fst/var/www/html/board/admin/index.php on line 403

Warning: fopen(/home/virtual/site7/fst/var/www/html/vbulletin/admin/.htpasswd) [function.fopen]: failed to create stream: No such file or directory in /home/virtual/site7/fst/var/www/html/board/admin/index.php on line 404

Warning: fputs(): supplied argument is not a valid stream resource in /home/virtual/site7/fst/var/www/html/board/admin/index.php on line 411

Warning: fclose(): supplied argument is not a valid stream resource in /home/virtual/site7/fst/var/www/html/board/admin/index.php on line 412

Warning: fputs(): supplied argument is not a valid stream resource in /home/virtual/site7/fst/var/www/html/board/admin/index.php on line 413

Warning: fclose(): supplied argument is not a valid stream resource in /home/virtual/site7/fst/var/www/html/board/admin/index.php on line 414


dort heißt es
403 = $htaccess= fopen("$DOCUMENT_ROOT/$path_to_admin_folder/.htaccess", "w");
404 = $htpasswd= fopen("$DOCUMENT_ROOT/$path_to_admin_folder/.htpasswd", "w");

411-414

"</limit>");
fclose($htaccess);
fputs($htpasswd, "$HTTP_POST_VARS[username]:$passwortverschluesselt");


watten falsch gemacht :confused: :D

danke :) :) :)

ist denn auch die .htaccess und die .htpasswd im Admin-Verzeichnis ? wenn nicht, dann mal diese beiden Dateien dorthinkopieren und die rechte 666 geben.

ist alles so gemacht, hab jetzt das was er mir in die thaccess dateien setzen wollte manuell eingetragen und ins admin verzeichnis kopiert, daraufhin sprang der schutz schon im board/indesx an.

Nun bin ich total verwirrt:D

Nehm die Admin/index.php raus dann hast du einen sehr guten Schutz denn was nicht da ist kann man auch nicht hacken bzw versuchen;) :D

@Dede1

Wobei die admin/index.php die "ungefährlichste" Datei vom gesamten Admin CP ist....man kann die admin/forum.php etc. auch direkt öffnen.

Sicher aber es ist erstmal nichts da und man hat vor den kleinen Möchtegern Hackern Ruhe;)

Mensch Dede ich habs immer noch nicht geschafft mic zu melden, verzeih mir:rolleyes:

Viel um die Ohren.

Aber wie jetzt, ist das Euer ernst oder verschaukelt Ihr mich jetzt, das Ding raus und jedesmal rein wenn ich rein will?

Original geschrieben von Subu1
Aber wie jetzt, ist das Euer ernst oder verschaukelt Ihr mich jetzt, das Ding raus und jedesmal rein wenn ich rein will? Das ist Quatsch! Es würde erst Sinn machen, wenn man alle admincp-Dateien (außer sessions.php/functions.php) nur hochlädt, wenn man was machen will.....

Klar ist das mein ernst

Original geschrieben von Subu1
ist alles so gemacht, hab jetzt das was er mir in die thaccess dateien setzen wollte manuell eingetragen und ins admin verzeichnis kopiert, daraufhin sprang der schutz schon im board/indesx an.

Nun bin ich total verwirrt:D

dann liegen die dateien aber nicht im Adminverzeichnis wenn der schutz schon vorher anspringt, oder lädst du irgendwelche bilder aus dem adminbereich im forum ?

ups, stimmt da hab ich in meinen anfängen Style Dateien hingelegt, denke das kann ich vorerst vergessen:(

Hi

ich habe versucht den Hack ein zubauen aber wenn ich auf de rrechte Seite Name und Passwort eingegeben habe haben und bestätige bekomm ich folgende Meldungen:

Warning: fopen("/home/www/web2/html/vbulletin/admin/.htaccess", "w") - No such file or directory in /home/www/web2/html/Board/admin/index.php on line 430

Warning: fopen("/home/www/web2/html/vbulletin/admin/.htpasswd", "w") - No such file or directory in /home/www/web2/html/Board/admin/index.php on line 431

Warning: fputs(): supplied argument is not a valid File-Handle resource in /home/www/web2/html/Board/admin/index.php on line 438

Warning: fclose(): supplied argument is not a valid File-Handle resource in /home/www/web2/html/Board/admin/index.php on line 439

Warning: fputs(): supplied argument is not a valid File-Handle resource in /home/www/web2/html/Board/admin/index.php on line 440

Warning: fclose(): supplied argument is not a valid File-Handle resource in /home/www/web2/html/Board/admin/index.php on line 441


Weiß jemand was das bedeutet?Und wo soll das sein ich kann das nicht finden danach:

Die Dateien sollten automatisch erstellt worden sein, um das zu überprüfen klicken Sie am besten links im Menü auf den Link Passwortschutz, wenn jetzt eine Eingabemaske erscheint ist alles OK,

Hast du die beiden Dateien auch hochgeladen?
Denke auch daran, dass sie beschreibbar sein müssen.

Ja hab ich und promt kam ich nicht mehr in den Adminebreich:D

Ich habe die im Moment natürlich gelöscht;)

das ist aber komisch, alternativ kannst du ja nach dem erstellen den code der trotz der fehlermeldung angezeigt wird manuell per hand in die dateien eintragen und sie dnan hochladen, rechte der dateien 666

was ganz wichtig ist ist das der path zum adminbereich stimmt dnn sonst funktioniert das ganze nicht

Alles klar werde das morgen noch mal prüfen

ich hab auch ein problem:(

hab alles nach Afterburners anleitung eingebaut, und hab die beiden files im asci-modus hochgeladen.

leider tauchen die bei mir garnicht im ftp fenster auf! was kann das denn sein? wie unsichtbar:D

Du musst nur einen FTP Client nehmen, der auch versteckte Dateien anzeigen kann. Das sind eben die mit einem Punkt vor dem Namen.

www.smartftp.com kann das z.B..

Oder guck in deinem Client, ob du Parameter für den ls Befehl angeben kannst. Falls ja, gibst du in das Feld -a ein.

cuteftp pro 2 ?

Euer Service, auf Fragen schnell zu reagieren ist ja einfach TOP, aber Ihr wartet nicht auf Fragen oder:D?

oder kann es sein, dass ich in meiner ganzen blindheit vergessen habe, irgendwas in dem code anzupassen?

muss man dort irgendwas anpassen:D?

denn ich habe, wenn ich das acp betreten will kein CP! nur das standardfenster von vB!

Original geschrieben von CharlieBrown
denn ich habe, wenn ich das acp betreten will kein CP! nur das standardfenster von vB! Kann es sein, dass du die normale Forum index.php in dein admin Verzeichnis hochgeladen hast? Falls ja: da gehört die index.php aus dem admin Verzeichnis rein :)

:D das war´s :( schämmich^^