Próba włamania do ACP

[Fedex]

Ostatnio coraz czesciej pojawaiają się próby logowań do ACP mam domyślnie Admin/index.php. Czy jak zmienie Admin na cokolwiek innego struktura forum nie ulegnie żadnym zmianom?

[Macsch15]

[Gość Xca]

Nie, ale z tego co pamiętam w init.php musisz zmienić adres na aktualny ACP, czyli zmienić tam ścieżkę, sama zmiana folderu nic nie da.

[Amfidiusz]

Swoją drogą to zabezpieczenie nic nie daje. Zainteresuj się hasłem htaccess

[Fedex]

Swoją drogą to zabezpieczenie nic nie daje. Zainteresuj się hasłem htaccess

Czyli to dodatkowe hasło do panela tak?

Edytowane 16 Grudnia 2010 przez Fedex

[Macsch15]

http://www.google.pl/search?hl=pl&source=hp&biw=1440&bih=705&q=htpasswd&aq=0&aqi=g6g-s1g3&aql=&oq=htpa&gs_rfai=

[Fedex]

A więc wrzuciłem oplik htpasswd.php na serwer zmieniłem chmoda na 777 i problem nie chce się połączyć, by dać login i password jaka może być przyczyna?

[DawPi]

Pewnie źle je uzupełniłeś. Skorzystaj z tego i tego.

[Fedex]

<?php

if (($user) && ($pass))

{

$url = $DOCUMENT_ROOT . dirname($PHP_SELF) . "/.htpasswd";

$htaccess_txt = "AuthType Basic" . "\n";

$htaccess_txt .= "AuthName \"Podaj hasło\"" . "\n";

$htaccess_txt .= "AuthUserFile $url" . "\n";

$htaccess_txt .= "require valid-user" . "\n";

$htpasswd_txt .= "$user:".crypt($pass,CRYPT_STD_DES)."\n";

$htaccess= fopen(".htaccess", "w");

$htpasswd= fopen(".htpasswd", "w");

fputs($htaccess, $htaccess_txt);

fputs($htpasswd, $htpasswd_txt);

fclose($htaccess);

fclose($htpasswd);

die ("Nowe pliki: .htaccess i .htpasswd zostały pomyślnie utworzone !!!<br><br> Nie zapomnij skasować htpasswd.php oraz przywrócić domyślny chmod katalogu na 775 ");

}

?>

<HTML><HEAD><TITLE>.htaccess + .htpasswd</TITLE></HEAD>

<BODY>

<CENTER>

<TABLE BORDER=1 CELLPADDING=0 CELLSPACING=0 WIDTH="100%" BORDERCOLORLIGHT="#FFFFFF" BORDERCOLORDARK="#FFFFFF">

<TR><TD ALIGN="center" VALIGN="middle">

<FORM METHOD="POST" ACTION="<? echo $PHP_SELF; ?>">

Pamiętaj !!! katalog w którym zakładasz hasło musi mieć chmod ustawion na 777 !!!

<p>Użytkownik: <INPUT TYPE="TEXT" NAME="user"></p>

<p>Hasło: <INPUT TYPE="TEXT" NAME="pass"></p>

<p><INPUT TYPE="submit" VALUE="Utwórz pliki zabezpieczjące katalog"></p>

</FORM>

</BODY></HTML>

Ja miałem tak wypełniony plik htpasswd.php sciągałem go...

A teraz wypełniłem te generatory i co z tymi wartosciami zrobić?

[DawPi]

Y, nie rozumiem. Co robiłeś?

[Fedex]

Y, nie rozumiem. Co robiłeś?

Te linki co podałeś, to chyba te okienka miałem wypełnić? I niby coś tam wygenerowało...Ale jak z tego zrobić plik htpasswd.php...

[Macsch15]

htpasswd ma mieć nazwę dokładnie .htpasswd (podobnie jak .htaccess)

W .htpasswd masz mieć login i hasło wygenerowane przez strony które podał Dawid, np:

invisionize:$apr1$96Q/l/..$tdeb2e9cRmQg8jgBWG4wF/

A w .htaccess masz mieć:

AuthName "acp login"
AuthType Basic
AuthUserFile /home/123456789/public_html/admin/.htpasswd
Require valid-user

W AuthUserFile musisz podać PEŁNĄ ścieżkę do .htpasswd, możesz sprawdzić katalog dokładny tworząc php z treścią:

<?php
echo __FILE__;
?>

Plik php musisz umieścić w tym samym katalogu w którym jest .htpasswd i .htaccess czyli w Twoim przypadku /admin/

[Fedex]

Wrzuciłem wszystkie pliki i dalej nie łączy, a dostęp do folderu "admin" jest bez loginu i password

Edytowane 16 Grudnia 2010 przez Fedex

[Macsch15]

Twój serwer ma obsługę .htaccess ?

Powiedz co dokładnie zrobiłeś (DOKŁADNIE !).

[Fedex]

W htpasswd - wkleiłem ten kod który wygenerowałem podając login i hasło

W htaccess - wkleiłem: 

AuthType Basic
AuthName "admin"
AuthUserFile /public_html/admin/.htpasswd
Require valid-user

A w AuthUserFile:

<?php
echo __FILE__;
?>

I teraz wpisałem w www.adresforum/path/to/fullpath.php

Tak jak pisało na tamtej stronie by zrobiło tą scieżke i nic się nie pojawia...Zapewne robie coś źle

Edytowane 16 Grudnia 2010 przez Fedex

[Macsch15]

Wylew... Dlaczego robisz coś czego nie powinieneś ?

Ale ok... mam napój uspokajający.

Zacznijmy:

Nie mówiłem żebyś AuthUserFile wklejał kod php, w AuthUserFile masz wkleić wynik działania pliku php.

Żeby nie było że źle tłumaczę... Tworzysz nowy plik z rozszerzeniem, katalog.php do niego wklejasz:

<?php
echo __FILE__;
?>

Przesyłasz na serwer do folderu "admin" Twojego IPB.

W przeglądarce wpisujesz http://adres_forum.pl/admin/katalog.php.

Wyświetli Tobie się pełna ścieżka do folderu admin, następnie zaznaczasz całość i kopiujesz (prawy raz klik myszy na zaznaczony tekst -> kopiuj).

Następnie otwierasz plik .htaccess i w linijce "AuthUserFile" wklejasz to, co przed chwilą skopiowałeś, i dodajesz na koniec .htpasswd

dla przykładu powinno to wyglądać tak:

AuthType Basic
AuthName "admin"
AuthUserFile home/home2/public_html/user/admin/.htpasswd
Require valid-user

Edytowane 17 Grudnia 2010 przez macsch15

[Fedex]

Zrobiłem jak pisałeś...I dalej pokazuje strone główną Nie mam pojęcia co jest nie tak ;/

[DawPi]

Użyj generatora:

ACP :system: System System Centrum bezpieczeństwa :a: Zabezpieczenie panelu administracyjnego plikiem .htaccess

Komunikaty masz po polsku, więc sobie na pewno poradzisz.

[Fedex]

Ok wygenerowało się nareszcie Wkleiłem do folderu oba pliki i to wszystko czy jeszcze trzeba coś zrobić?

[DawPi]

Myślę, że wystarczy.