htaccess Protection for admincp / Дополнительный пароль в админку

01-13-2006, 10:26 AM

Хак позволяет дополнительно запаролить админку или любую другую директорию.

this is a very simple hack
its only main function is to add htaccess protection for any dir by adding some small lines in the begining of Dir's index

our application will be on admincp's index (index.php)

Description: This hack will add htaccess protection to any folder by adding small lines in its index.php file & the user name & password for this protection is determined by two varables in the sam file & if the data entered was wrong, the page will give a black background with a title (Unauthorized) & a content says (Enter Here Only) when clicking it, it will direct to forum's root (index.php by default)

installation:
open the file index.php present in the dir admincp & search for the following code:

PHP Code:
|| # ---------------- VBULLETIN IS NOT FREE SOFTWARE ---------------- # ||
|| # http://www.vbulletin.com | http://www.vbulletin.com/license.html # ||
|| #################################################################### ||
*======================================================================*/

& put under it the following code:

PHP Code:
$index['public'] = $index['public'];
$phpkd['username'] = "123"; // Here Is the User Name
$phpkd['password'] = "321"; // Here Is The htaccess Password

if(!$index['public']){
if($_SERVER['PHP_AUTH_USER'] != $phpkd['username'] || $_SERVER['PHP_AUTH_PW'] != $phpkd['password']){
Header("WWW-Authenticate: Basic realm=\"Highly Secured\"");
Header("HTTP/1.0 401 Unauthorized");echo "<head><title>Unauthorized</title></head><body bgcolor='#000000'><center> 
<a href=\"../index.php\" style=\"text-decoration: none\" target=\"_blank\">
 Enter Here Only </a></body></html>";exit;}}

Hint: I tried some failure experiments to get the data for htaccess from the data base So any one have any imagination or ways to do that please tell me.
thanks

Not to change the values of the two variables $phpkd['username'] $phpkd['password'] to the username & password needed & note not to change this $index['public'] = $index['public'];

01-13-2006, 11:51 AM

ну можно и просто хтаксессом запаролить..... =))
зачем такие премудрости?

01-13-2006, 02:20 PM

Для тех, кто не знает, что такое хтакцесс))

01-13-2006, 09:50 PM

insecured, пароль будет виден если есть доступ к файлам (в аксесе хотя бы немного хеширует).
имхо гораздо лучше просто переименовать эти папки!

01-13-2006, 10:11 PM

Ты сам понимаешь, что говоришь?)) Если есть доступ к файлам - что мешает удалить хтакцесс нафиг)

Если есть доступ к файлам - бесполезно запирать админку.

01-14-2006, 12:20 AM

КотЪ, я имею ввиду readonle доступ, localfile inclusion баги например (не обязательно в вб...)
ну или другой популярный пример - на многих хостингах юзер на правах апачи через php-шный system($cmd) может лазать (read-only) по папкам других юзеров

02-18-2006, 12:14 AM

Quote:

Originally Posted by КотЪ

Для тех, кто не знает, что такое хтакцесс))

Гм-м... Я-то типа слышал. Файл сделать могу с названием .htaccess
Но что в нем надо написать?

$index['public'] = $index['public'];
$phpkd['username'] = "123"; // Here Is the User Name
$phpkd['password'] = "321"; // Here Is The htaccess Password

if(!$index['public']){
if($_SERVER['PHP_AUTH_USER'] != $phpkd['username'] || $_SERVER['PHP_AUTH_PW'] != $phpkd['password']){
Header("WWW-Authenticate: Basic realm=\"Highly Secured\"");
Header("HTTP/1.0 401 Unauthorized");echo "<head><title>Unauthorized</title></head><body bgcolor='#000000'><center> 
<a href=\"../index.php\" style=\"text-decoration: none\" target=\"_blank\">
 Enter Here Only </a></body></html>";exit;}}

Этого будет достаточно?
И залить в директорию /admincp/?

Прошу извинить за дурацкий вопрос, но поиск по форуму по слову .htaccess положительного результата (в плане просветления) не дал :(

02-18-2006, 02:23 AM

DDDDD,
я здесь уже писал, как запаролить админку с помощью этого файла...
там все подробно описанои есть ссылка на сайт, который генерит md5 пароль, который введешь в поле, потом просто скачай готовый .htpasswd
=))

02-18-2006, 03:23 AM

kerk, спасибо за подсказку. Нашел нужную тему в поиске по слову "md5 пароль"

Вот это сообщение - http://www.vbsupport.ru/forum/showpo...79&postcount=2

Гм-м... У меня еще одна фишка есть, .....пригодится ли она?
У меня хостинг на инфобоксе - http://www.infobox.ru/
Там в админпанели есть такая функция: "Паролирование директорий".
Ей тоже имеет смысл воспользоваться, что бы запаролить forum/admincp/
или это уже излишество? Как твое личное мнение?

DDDDD добавил 18.02.2006 в 02:23

Quote:

Originally Posted by DDDDD

kerk, спасибо за подсказку. Нашел нужную тему в поиске по слову "md5 пароль"
Вот это сообщение - http://www.vbsupport.ru/forum/sh...79&postcount=2

Отлично! все сделал по инструкции - атлична!
Будем надеяться, что злобные хакеры не пройдут

)))))

гм-м... Кажется мне, что та опция, что описал по инфобоксу, аналогична этому файлу .htaccess ........

02-18-2006, 04:05 AM

если есть доступ к панели аккаунта на хосте, можно сделать и так
а мне привычней руками..... =))