[Ulrich]

Mich hat immer interessiert wenn jemand ins Admin-CP geht oder dies versucht.
Ich habe mir mal so ein paar Experimente gestattet. Seit dem das bei mir läuft habe ich schon den Ein oder Anderen Versuch mitloggen können.

[code in /admin/index.php]

elseif($mybb->input['do'] == "login")
{
require_once('loginlogger.php'); // <------------------
$user = validate_password_from_username($mybb->input['username'], $mybb->input['password']);
if($user['uid'])
[/code]

Das Tool schickt dort bei jedem Login ins Admin-CP eine Mail (ob erfolgreich oder nicht). Da ich noch ein PHP-Newbee bin wird es sicher noch nötig sein den Code sicher und sauber zu machen. Mithilfe dazu erwünscht.

Ulrich

[Marti95.]

guter MOD..

ein par sicherheitslücken müssen noch gestopft werden aber sonst gut für ein PHP newbie

[Ulrich]

Schön dann sag mir mal wo ich nach gucken muss.

Uli

[Marti95.]

ok:

wenn du auf die datei zugreifst solte es dir rein teoretisch eine Mail verschicken.. Dan kann es passieren wen ein Bot darauf geht das du dan lauter spamm hast..

[Manuel]

Er hat recht. Du solltest eine Abfrage machen, ob der Benutzer, der ins Admin CP gehen will von deinem Forum kommt.

Also sowas wie

PHP-Code:

if($mybb->user['uid'] != 0)
{
 require_once("loginlogger.php");
} 


[Ulrich]

Probier das doch mal aus, wenn der aus dem Forum kommt liest er das Forencookie aus, kommt der nicht aus dem Forum dann haste immerhin die IP und ein paar Systemdaten. Die Mail die Du bekommst sieht so aus:

Info über personen die ins Admin-CP wollen:

--------------------------------------------------------------------------------
IP Adresse: 84.60.202.148
System info: Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
User ID:http://www.deinforum.de/admin/index.php?module=user/users&action=edit&uid=3_('cookieinhalt')
1223738166
11.10.08 / 17:16:06

Den Cookieinhalt habe ich hier nicht dargestellt. Der liest aber aus $_COOKIE['mybbuser']

Ein Bot wird nicht versuchen sich einzuloggen, daher bekomme ich auch keine Meldung.

Uli

[Manuel]

Da Bots wahlweise Locations des Forums austesten, kann es durchaus sein, dass sie sich versuchen ins Admin CP einzuloggen. Zumindest kommen sie auf die Seite.

[Ulrich]

Nun und wie sieht da dein Lösungsvorschlag aus, kann ja sein das mir dazu was einfällt.

Uli

[Manuel]

Er hat recht. Du solltest eine Abfrage machen, ob der Benutzer, der ins Admin CP gehen will von deinem Forum kommt.

Also sowas wie

PHP-Code:

if($mybb->user['uid'] != 0)
{
 require_once("loginlogger.php");
} 


[Ulrich]

Hallo Manuel,

die Abfrage bedeutet aber das nur dann der Loginlogger ausgeführt wird wenn jemand aus dem Forum, also mit einer ID größer 0 (korrekterweise nicht 0)ausgeführt wird. Was ist mit Benutzern die nicht im Forum registriert oder angemeldet sind.
Ist es nicht gerade nötig diese zu loggen?

Code:

elseif($mybb->input['do'] == "login")
{
require_once('loginlogger.php'); // <------------------
$user = validate_password_from_username($mybb->input['username'], $mybb->input['password']);
if($user['uid'])

Bewirkt doch gerade das jeder der sich im Admin-CP anmeldet, damit eine Mail auslöst.

Logt sich ein Benutzer des Forums ein sieht die Mail so aus:

Code:

IP Adresse: 84.60.202.148
System info: Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
User ID:http://www.deinforum.de/admin/index.php?module=user/users&action=edit&uid=3_('cookieinhalt')
1223738166
11.10.08 / 17:16:06

Bei Leuten die nicht zum Forum gehören sieht die Meldung so aus:

Code:

IP Adresse: 84.60.202.148
System info: Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
User ID:http://www.deinforum.de/admin/index.php?module=user/users&action=edit&uid=
1223738166
11.10.08 / 17:16:06

Jetzt brauche ich nur noch eine Erklärung warum ich das denn noch abfragen müßte. Ich verstehe das nicht so ganz.

Uli