ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Admin-Bereich für alle offen!!

Geschlossen
  1. So. 26.02.2006 15:37 Uhr #1
    User Pic
    WiTh0uT Mitglied
    Registriert seit
    26.02.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    Hi!
    Ich hab mir mal ein paar Module, Avatar im Login usw. runtergeladen, , da sie mir aber nicht gefallen haben, hab ich die ganzen Dateien wieder mit dem Original-Dateien vom Standar-Ilch ausgetauscht.
    Ich weiß nicht ob es damit was zu tun hat...
    Registrierte sehen nämlich den ADMIN BEREICH,
    Hab es mal selber ausprobiert, mit dem pw eines Registrierten (bin ja selber Admin)
    Wenn ich in Adminbereich geh, ist alles normal, wenn ein USer hinein geht, dann erscheint eine Seite, wo er sich einloggen sollte??

    Oder kurz gesagt ^^:

    Wie schaffe ich es, dass nur diejenigen den Adminbereich sehen, die auch Admin sind, und nicht alle?
    0 Mitglieder finden den Beitrag gut.
  2. So. 26.02.2006 16:26 Uhr #2
    User Pic
    Panicsheep Hall Of Fame
    Registriert seit
    24.08.2004
    Beiträge
    10.192
    Beitragswertungen
    16 Beitragspunkte
    Den Adminbereich sehen sie doch garnicht.
    Die kommen doch nur bis zum Adminlogin.
    Und ohne Zugangsdaten bzw. Adminstatus bring ihnen das herzlich wenig.
    Omnia bona erunt
    0 Mitglieder finden den Beitrag gut.
  3. So. 26.02.2006 17:03 Uhr #3
    User Pic
    WiTh0uT Mitglied
    Registriert seit
    26.02.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    Aber mir gefällt das nicht das die den Link zum Admin-Bereich sehen grumml
    0 Mitglieder finden den Beitrag gut.
  4. So. 26.02.2006 17:14 Uhr #4
    User Pic
    dojando Mitglied
    Registriert seit
    09.02.2006
    Beiträge
    20
    Beitragswertungen
    0 Beitragspunkte
    Ich möchte auch wirklich nicht die Sicherheit anzweifeln bis ich mir nicht sicher bin das da doch irgendwo nen fehler drinne ist,
    Habe ja schon nen Tread eröffnet.
    Scheinbar ist es registrierten Usern aber doch möglich sich da mal eben Rechte zu verschaffen und alles platt zu machen. Mir ist das gestern bei dem web4 benutzer passiert. Die logfiles sehen auch sehr interessant aus. Mir ist noch rätzelhaft wie es passiert ist aber hier erfolgte lediglich der Zugriff über den Webbrowser.

    hier mal ein kleiner gekürzter Auszug:

    xxxIPxxx - - [25/Feb/2006:15:55:45 +0100] "GET /admin.php?m=menu HTTP/1.1" 200 30764 "http://www.---internetseite---.de/admin.php?m=selfbp" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"
    xxxIPxxx - - [25/Feb/2006:15:55:56 +0100] "GET /admin.php?m=menu&delete=31&pos=1&wo=2 HTTP/1.1" 200 30050 "http://www.---internetseite---.de/admin.php?m=menu" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"
    xxxIPxxx - - [25/Feb/2006:15:56:06 +0100] "GET /admin.php?m=menu&delete=44&pos=27&wo=1 HTTP/1.1" 200 16112 "http://www.---internetseite---.de/admin.php?m=menu&delete=31&pos=1&wo=2" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"
    xxxIPxxx - - [25/Feb/2006:15:56:13 +0100] "GET /admin.php?m=menu&delete=9&pos=5&wo=1 HTTP/1.1" 200 16122 "http://www.---internetseite---.de/admin.php?m=menu&delete=31&pos=1&wo=2" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"
    xxxIPxxx - - [25/Feb/2006:15:56:16 +0100] "GET /admin.php?m=menu&delete=9&pos=5&wo=1 HTTP/1.1" 200 29093 "http://www.---internetseite---.de/admin.php?m=menu&delete=31&pos=1&wo=2" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"
    xxxIPxxx - - [25/Feb/2006:15:56:10 +0100] "GET /admin.php?m=menu&delete=8&pos=4&wo=1 HTTP/1.1" 200 16135 "http://www.---internetseite---.de/admin.php?m=menu&delete=31&pos=1&wo=2" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"
    xxxIPxxx - - [25/Feb/2006:15:56:19 +0100] "GET /admin.php?m=menu&delete=21&pos=6&wo=1 HTTP/1.1" 200 16141 "http://www.---internetseite---.de/admin.php?m=menu&delete=31&pos=1&wo=2" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"
    xxxIPxxx - - [25/Feb/2006:15:56:22 +0100] "GET /admin.php?m=menu&delete=11&pos=14&wo=1 HTTP/1.1" 200 27661 "http://www.---internetseite---.de/admin.php?m=menu&delete=31&pos=1&wo=2" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"
    xxxIPxxx - - [25/Feb/2006:15:56:26 +0100] "GET /admin.php?m=menu&delete=2&pos=9&wo=1 HTTP/1.1" 200 23562 "http://www.---internetseite---.de/admin.php?m=menu&delete=11&pos=14&wo=1" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"


    Die IP und die betrffende Website natürlich weggemacht .
    Nicht zu verachten die ganzen Einträge im Log mit "delete" !
    Und so setzte sich der Gang fort, Alles mal eben gelöscht von einem User der sich selber wie auch immer erst registriert hat und dann plötzlich Admin war ohne die Zugangsdaten zu haben.

    Vielleicht interessiert sich ja mal einer von den Ilchscriptern mehr.

    Hier lief übrigens das neuste G Schript.


    Jan


    Zuletzt modifiziert von dojando am 26.02.2006 - 17:17:27
    0 Mitglieder finden den Beitrag gut.
  5. So. 26.02.2006 17:17 Uhr #5
    User Pic
    Panicsheep Hall Of Fame
    Registriert seit
    24.08.2004
    Beiträge
    10.192
    Beitragswertungen
    16 Beitragspunkte
    Ordner = include/boxes
    Datei = login.php
    Zeile 10 
    if ( $_SESSION['authright'] <= -1 ) {


    Ändere das -1 zu dem was du möchtest.
    Dabei steht
    -1 = registrierter User
    -2 = Trial Member
    -3 = Member
    -4 = Leader
    -5 = Admin

    Ich garantiere aber nicht dafür das wenn du es z.b. auf -4 setzt, das dann Member (-3) mit bestimmten Modulrechten den Link noch sehen können.
    Omnia bona erunt
    0 Mitglieder finden den Beitrag gut.
  6. So. 26.02.2006 17:36 Uhr #6
    User Pic
    WiTh0uT Mitglied
    Registriert seit
    26.02.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    Wenn ich das z.B auf -5 Setze, dann können sich ja nur noch Admins einloggen...
    Aber das will ich ja nicht erreichen, ich will nur den Admin Link weg...Aber nicht dadurch, dass sie sich nicht mehr einloggen können lächeln

    An was könnte dies liegen, das alle den Link Sehen?????
    0 Mitglieder finden den Beitrag gut.
  7. So. 26.02.2006 17:48 Uhr #7
    User Pic
    Panicsheep Hall Of Fame
    Registriert seit
    24.08.2004
    Beiträge
    10.192
    Beitragswertungen
    16 Beitragspunkte
    Das liegt am 
    if ( $_SESSION['authright'] <= -1 ) {
  
  $tpl->set ( 'ADMIN', '<a class="box" href="admin.php?sid='.session_id().'">Admin Bereich</a>' );



    So und wenn man nun status -1 (registrierter User) oder kleiner hat sieht man den Link.
    Ist man Gast hat man Status 0 und sieht den Link nicht.
    Wenn du also den Link weghaben willst mußt du den Link entfernen.

    Das bedeutet dann das man in den Adminbereich nur noch kommt wenn man webseite.de/admin.php aufruft und sich dann dort einloggt.
    Omnia bona erunt
    0 Mitglieder finden den Beitrag gut.
  8. So. 26.02.2006 17:51 Uhr #8
    User Pic
    dojando Mitglied
    Registriert seit
    09.02.2006
    Beiträge
    20
    Beitragswertungen
    0 Beitragspunkte
    Nja , ich hätt da ne Idee,

    Mach nen weiteren Unterordner über der admin.php,

    Dann machst dzu ne admin.php mit ner weiterleitung in den Unterordner zu r richtigen admin.php,
    Den Ordner kannst du ja dann mit htaccess schützen :-)

    Jan
    0 Mitglieder finden den Beitrag gut.
  9. So. 26.02.2006 18:52 Uhr #9
    User Pic
    WiTh0uT Mitglied
    Registriert seit
    26.02.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    das mit dem htaccess is mir zu kompliziert, aber danke für deinen Post..

    @Panicsheep

    Also, ich habe aus dem Code das Dicke, unterstrichene entfernt, wenn ich alles entferne komm ich nicht mehr auf die seite.

    if ( $_SESSION['authright'] <= -1 ) {

    $tpl->set ( 'ADMIN', '<a class="box" href="admin.php?sid='.session_id().'">Admin Bereich</a>' );

    Aber ich glaube es liegt nicht an der LOgin datei, sondern an irgendwas anderem..
    Als vorrübergehende Lösung ist das gut, aber es wird doch mit der Zeit nervig immer admin.php extra aufzurufen.


    EDIT: Hab ne Lösung gefunden, also ich hab so wie oben beschrieben den Link weggemacht, und eine NEUE B0X gemacht, die Nur ADMINS sehen können, kann man ja so einstellen.
    Darin hab ich einen LInk zu der admin.php gestezt, nun is alles (fast) wieder normal.

    DANKE zwinkerzwinker


    Zuletzt modifiziert von WiTh0uT am 26.02.2006 - 19:30:59
    0 Mitglieder finden den Beitrag gut.
  10. Mo. 27.02.2006 01:36 Uhr #10
    User Pic
    dojando Mitglied
    Registriert seit
    09.02.2006
    Beiträge
    20
    Beitragswertungen
    0 Beitragspunkte
    Das mit er htaccess ist das leichteste der Welt,

    Schreib mich per Mail oder Messenger an falls es doch in Frage kommt, helfe dir gerne dabei.

    Jan
    0 Mitglieder finden den Beitrag gut.
  11. Mo. 27.02.2006 02:54 Uhr #11
    User Pic
    o11 Mitglied
    Registriert seit
    15.02.2006
    Beiträge
    38
    Beitragswertungen
    0 Beitragspunkte
    ZitatZitat geschrieben von WiTh0uT

    EDIT: Hab ne Lösung gefunden, also ich hab so wie oben beschrieben den Link weggemacht, und eine NEUE B0X gemacht, die Nur ADMINS sehen können, kann man ja so einstellen.
    Darin hab ich einen LInk zu der admin.php gestezt, nun is alles (fast) wieder normal.


    if ( $_SESSION['authright'] <= -5 ) wäre doch das gleiche.
    0 Mitglieder finden den Beitrag gut.
  12. Mo. 27.02.2006 10:24 Uhr #12
    User Pic
    WiTh0uT Mitglied
    Registriert seit
    26.02.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    Aber wenn ich das mache, dann gibt es bei mir einlogg Probleme...

    @ dojando, vielen Dank für dein Angebot, aber ich hab ne Lösung die ich akzeptier.
    Mit dem htacces muss man doch dann wenn man in admin-bereich will ein erneutes pw eingeben, is zu umständlich
    Den auf die admin.php können bei mir ja nur die zugreifen die auch WIRKLICH ADMIN sind.
    Danke trotzdem zwinker
    0 Mitglieder finden den Beitrag gut.
  13. Mo. 27.02.2006 17:40 Uhr #13
    User Pic
    SLJ Hall Of Fame
    Registriert seit
    18.05.2004
    Beiträge
    15.492
    Beitragswertungen
    3 Beitragspunkte
    Aber es ist doch egal ob man den link sieht oder nicht ? Jeder der das ilch script kennt weiß wo die datei liegt ^^
    externer Link
    Ilch 1.0.4 PHP 7.0 und PDO Fähig na klar lächeln
    0 Mitglieder finden den Beitrag gut.
  14. Di. 28.02.2006 12:39 Uhr #14
    User Pic
    WiTh0uT Mitglied
    Registriert seit
    26.02.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    Ich kann die Datei ja auch umbenennen ^^:)
    0 Mitglieder finden den Beitrag gut.
  15. Di. 28.02.2006 17:28 Uhr #15
    User Pic
    Panicsheep Hall Of Fame
    Registriert seit
    24.08.2004
    Beiträge
    10.192
    Beitragswertungen
    16 Beitragspunkte
    Na dann viel spass.
    Dann darfst du nämlich auch gleich noch einige Dateien vom Script anpassen.
    Omnia bona erunt
    0 Mitglieder finden den Beitrag gut.
  16. Di. 07.03.2006 14:44 Uhr #16
    User Pic
    WiTh0uT Mitglied
    Registriert seit
    26.02.2006
    Beiträge
    21
    Beitragswertungen
    0 Beitragspunkte
    ok, ich machs doch nicht ^^
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten