[Abys]

Hi liebes MyBB Team und User!
Als 1. möchte ich mich mal bedanken das ihr mir bzw. uns dieses Open Source Forum bereitstellt.
Da ich kein Freund von Admin Oberfläschen bin und lieber in den PHPs selbst arbeite habe ich hier mal eine kleine Sicherung im ACP eingebaut.
Also nun zum Hack oder what ever!
Geht in den Haupt inc Ordner und sucht die init.php dann fügt ihr folgendes ein:

PHP-Code:

<?php
/**
 * MyBB 1.8
 * Copyright 2014 MyBB Group, All Rights Reserved
 *
 * Website: http://www.mybb.com
 * License: http://www.mybb.com/about/license
 *
 */

// Disallow direct access to this file for security reasons
if(!defined("IN_MYBB"))
{
 die("Direct initialization of this file is not allowed.<br /><br />Please make sure IN_MYBB is defined.");
}
//ab hier einfügen
function abys_team_login()
{
function validateLogin($user, $pwd)
{
    // Array mit gueltigen Usern
    // key = username, value = passwort
    $arrUser = array('******' => '1', 'DeinUsername' => 'DeinPasswort');

    if(array_key_exists($user, $arrUser))
    {
        if($arrUser[$user] == $pwd)
        {
            return true;
        }
        else
        {
            return false;
        }
    }
    else
    {
        return false;
    }
}
if((!isset($_SERVER['PHP_AUTH_USER'])) && (!isset($_SERVER['PHP_AUTH_PW'])) || !(validateLogin($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW'])))
{
    header( 'WWW-Authenticate: Basic realm="Abys_Secure-Section"');
    header( 'HTTP/1.0 401 Unauthorized');
    
    stdmsg("<font size=\"3\" style=\"font-family:'Times New Roman',Times,serif;'\" color=\"#FF0000\"><b>Keine Berechtigung!</b></font>", ");
    die();
} 
} 


Dannach geht ihr in den admin Ordner und fügt folgendes in die index.php ein

PHP-Code:

if(function_exists('mb_internal_encoding') && !empty($lang->settings['charset']))
{
 @mb_internal_encoding($lang->settings['charset']);
}

header("Content-type: text/html; charset={$lang->settings['charset']}");
//Nach dieser Funktion das einfügen:
abys_team_login(); 


Somit wird als 1. ein weiteres Passwort und username verlangt, das macht es ein wenig Sicherer und schwieriger für Scriptkiddis
Hier mal ein Screen:
   
Mfg Abys®

[StefanT]

Das geht doch per .htaccess ganz ohne Code-Änderungen?
https://www.mybb.de/doku/haeufig-gestell...umbenennen
http://wiki.selfhtml.org/wiki/Webserver/....C3.BCtzen

[Falkenauge Mihawk]

Das geht doch per .htaccess ganz ohne Code-Änderungen?
https://www.mybb.de/doku/haeufig-gestell...umbenennen
http://wiki.selfhtml.org/wiki/Webserver/....C3.BCtzen

Funktioniert auch nur wenn man Apache als Webserver hat. Ich z.B. benutze auf diversen Präsenzen Nginx.

[StefanT]

Auch nginx unterstützt Passwortschutz, man muss es dann nur stattdessen in der Konfiguration hinterlegen.

[Abys]

Hallo zusammen Ja wollte noch dazu schreiben das es auch via htaccess geht.
Wenn ich mal richtig hinter dieser Source steige ,werde ich sowieso nur in den PHPs arbeiten .
Arbeite sonst immer mit winscp sofort an den PHPs das ist für mich völlig neu Suche mir schon nen Wolf :-)

[Nighthawk]

Im Prinzip ganz gut, Abys, aber wozu soll das gut sein?

Du kannst bei MyBB zusätzlich ein Pin fürs ACP festlegen, so muss dann folgendes eingegeben werden:

Username: blablabla
Passwort: dsjhdshjhjdsaj
Pin: 5442154572558212556522145785


oder ähnliches... ob bei Pin auch Buchstaben, Zahlen, Sonderzeichen gehen weiß ich nicht, hab es auch nie ausprobiert aber wenn, es gibt im Internet sog. Passwort Generatoren, damit kannst du dir beliebig lange und sichere Passwörter erstellen lassen z.B. 30 Zeichen lang (Kleinbuchstaben, Großbuchstaben, Sonderzeichen und Zahlen) und die als PW verwenden und ein anderes schweres, langes als Pin (falls möglich), zudem kannst du den Adminbereich umbenennen, so haben diese "Script Kiddies" kaum noch eine Chance, selbst wenn sie dein ACP rausbekommen, dann müssen sie immernoch dein sau schweres langes PW und PIN überwinden und bis die das rausgefunden haben vergehen sicher Monate oder Jahre.

Ändern tuste das so:

Geh in dein Forumsordner ~> öffne den Ordner inc ~> öffne die Datei config.php und ändere dort folgendes:

Standartmäßig steht da:

PHP-Code:

/**
 * Admin CP directory
 *  For security reasons, it is recommended you
 *  rename your Admin CP directory. You then need
 *  to adjust the value below to point to the
 *  new directory.
 */

$config['admin_dir'] = 'admin'; 


du kannst es nun in das ändern, was du willst, z.B.

PHP-Code:

/**
 * Admin CP directory
 *  For security reasons, it is recommended you
 *  rename your Admin CP directory. You then need
 *  to adjust the value below to point to the
 *  new directory.
 */

$config['admin_dir'] = 'bekommtihrsowiesoniemalsrausbliblablub123456789'; 


Den Pin kannst du ebenfalls in der Datei festlegen, ganz unten am ende, da steht:

PHP-Code:

/**
 * Admin CP Secret PIN
 *  If you wish to request a PIN
 *  when someone tries to login
 *  on your Admin CP, enter it below.
 */

$config['secret_pin'] = ''; 


Da trägst du dann z.B. ein:

PHP-Code:

/**
 * Admin CP Secret PIN
 *  If you wish to request a PIN
 *  when someone tries to login
 *  on your Admin CP, enter it below.
 */

$config['secret_pin'] = '254528789542215522335547882215'; 


Also den PIN, den DU willst! Wenn du dort nichts einträgst, wird auch kein Pin abgefragt, sondern nur Username und PW.

Wenn du den Adminbereich änderst (wie oben erklärt) musst du nun nur noch in deinem Forumordner den Ordner admin zu bekommtihrsowiesoniemalsrausbliblablub123456789 umbenennen (also in den Name, den du willst und den du oben in der Config.php angegeben hast) und schon ist dein ACP abgesichert!

danach ist dein ACP nicht mehr über http://www.blabla.bla/admin erreichbar sondern über http://www.blabla.bla/bekommtihrsowieson...b123456789

[Abys]

Hi danke für deine Tipps.
Also den Admin Ordner habe ich sofort bei installation geändert gehabt, das mit dem Pin hatte ich noch nicht gefunden.
Also es ist so, ich war 3 Jahre Coder wo Hacken an der Tagesordnung war und deswegen bin ich übe vorsichtig.
Und wiegesagt ich würde lieber an den PHPs selbst arbeiten als in diesem Admin menü darin würde ich nur Forum spezifiche Sachen bearbeiten aber alles andere sollte da meiner Meinung nach nicht rein.
Mfg