Hallo, Gast! (Registrieren)

Wir wünschen allen Besuchern frohe Ostern!

Letzte Ankündigung: MyBB 1.8.37 veröffentlicht (04.11.23)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Mail wenn jemand ins Admin-CP geht
#1
Mich hat immer interessiert wenn jemand ins Admin-CP geht oder dies versucht.
Ich habe mir mal so ein paar Experimente gestattet. Seit dem das bei mir läuft habe ich schon den Ein oder Anderen Versuch mitloggen können.

[code in /admin/index.php]

elseif($mybb->input['do'] == "login")
{
require_once('loginlogger.php'); // <------------------
$user = validate_password_from_username($mybb->input['username'], $mybb->input['password']);
if($user['uid'])
[/code]

Das Tool schickt dort bei jedem Login ins Admin-CP eine Mail (ob erfolgreich oder nicht). Da ich noch ein PHP-Newbee bin wird es sicher noch nötig sein den Code sicher und sauber zu machen. Mithilfe dazu erwünscht.

Ulrich


Angehängte Dateien
.php   loginlogger.php (Größe: 1,66 KB / Downloads: 9)
Ein Hoch auf die "Zurücksetzen aufs Original" Taste !!

Meine MyBB-Spielwiese ist das www.sporthund-forum.de
Meine Brötchenquelle www.myserv24.de
Zitieren
#2
guter MOD..

ein par sicherheitslücken müssen noch gestopft werden aber sonst gut für ein PHP newbie
Freundliche Grüsse
Marti95.

Die deutsche Rechtschreibung ist Freeware, dass heißt Du darfst sie kostenlos benutzen.
Sie ist allerdings nicht Open Source, dass heißt Du darfst sie weder verändern, noch in veränderter Form veröffentlichen.
Zitieren
#3
Schön dann sag mir mal wo ich nach gucken muss.

Uli
Ein Hoch auf die "Zurücksetzen aufs Original" Taste !!

Meine MyBB-Spielwiese ist das www.sporthund-forum.de
Meine Brötchenquelle www.myserv24.de
Zitieren
#4
ok:

wenn du auf die datei zugreifst solte es dir rein teoretisch eine Mail verschicken.. Dan kann es passieren wen ein Bot darauf geht das du dan lauter spamm hast..
Freundliche Grüsse
Marti95.

Die deutsche Rechtschreibung ist Freeware, dass heißt Du darfst sie kostenlos benutzen.
Sie ist allerdings nicht Open Source, dass heißt Du darfst sie weder verändern, noch in veränderter Form veröffentlichen.
Zitieren
#5
Er hat recht. Du solltest eine Abfrage machen, ob der Benutzer, der ins Admin CP gehen will von deinem Forum kommt.

Also sowas wie
PHP-Code:
if($mybb->user['uid'] != 0)
{
 require_once(
"loginlogger.php");

Gruß Manuel
Bitte erst die Suche und die Doku benutzen.
Zitieren
#6
Probier das doch mal aus, wenn der aus dem Forum kommt liest er das Forencookie aus, kommt der nicht aus dem Forum dann haste immerhin die IP und ein paar Systemdaten. Die Mail die Du bekommst sieht so aus:

Zitat:Info über personen die ins Admin-CP wollen:

--------------------------------------------------------------------------------
IP Adresse: 84.60.202.148
System info: Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
User ID:http://www.deinforum.de/admin/index.php?module=user/users&action=edit&uid=3_('cookieinhalt')
1223738166
11.10.08 / 17:16:06
Den Cookieinhalt habe ich hier nicht dargestellt. Der liest aber aus $_COOKIE['mybbuser']

Ein Bot wird nicht versuchen sich einzuloggen, daher bekomme ich auch keine Meldung.

Uli
Ein Hoch auf die "Zurücksetzen aufs Original" Taste !!

Meine MyBB-Spielwiese ist das www.sporthund-forum.de
Meine Brötchenquelle www.myserv24.de
Zitieren
#7
Da Bots wahlweise Locations des Forums austesten, kann es durchaus sein, dass sie sich versuchen ins Admin CP einzuloggen. Zumindest kommen sie auf die Seite.
Gruß Manuel
Bitte erst die Suche und die Doku benutzen.
Zitieren
#8
Nun und wie sieht da dein Lösungsvorschlag aus, kann ja sein das mir dazu was einfällt.

Uli
Ein Hoch auf die "Zurücksetzen aufs Original" Taste !!

Meine MyBB-Spielwiese ist das www.sporthund-forum.de
Meine Brötchenquelle www.myserv24.de
Zitieren
#9
(11.10.2008, 21:48)Manuel schrieb: Er hat recht. Du solltest eine Abfrage machen, ob der Benutzer, der ins Admin CP gehen will von deinem Forum kommt.

Also sowas wie
PHP-Code:
if($mybb->user['uid'] != 0)
{
 require_once(
"loginlogger.php");

Gruß Manuel
Bitte erst die Suche und die Doku benutzen.
Zitieren
#10
Hallo Manuel,

die Abfrage bedeutet aber das nur dann der Loginlogger ausgeführt wird wenn jemand aus dem Forum, also mit einer ID größer 0 (korrekterweise nicht 0)ausgeführt wird. Was ist mit Benutzern die nicht im Forum registriert oder angemeldet sind.
Ist es nicht gerade nötig diese zu loggen?

Code:
elseif($mybb->input['do'] == "login")
{
require_once('loginlogger.php'); // <------------------
$user = validate_password_from_username($mybb->input['username'], $mybb->input['password']);
if($user['uid'])
Bewirkt doch gerade das jeder der sich im Admin-CP anmeldet, damit eine Mail auslöst.

Logt sich ein Benutzer des Forums ein sieht die Mail so aus:
Code:
IP Adresse: 84.60.202.148
System info: Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
User ID:http://www.deinforum.de/admin/index.php?module=user/users&action=edit&uid=3_('cookieinhalt')
1223738166
11.10.08 / 17:16:06

Bei Leuten die nicht zum Forum gehören sieht die Meldung so aus:

Code:
IP Adresse: 84.60.202.148
System info: Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
User ID:http://www.deinforum.de/admin/index.php?module=user/users&action=edit&uid=
1223738166
11.10.08 / 17:16:06

Jetzt brauche ich nur noch eine Erklärung warum ich das denn noch abfragen müßte. Ich verstehe das nicht so ganz.

Uli
Ein Hoch auf die "Zurücksetzen aufs Original" Taste !!

Meine MyBB-Spielwiese ist das www.sporthund-forum.de
Meine Brötchenquelle www.myserv24.de
Zitieren


Möglicherweise verwandte Themen…
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Browseragent in der Mail, wenn Adminlogin nicht erfolgreich war Sebijk 0 1.635 18.07.2006, 19:06
Letzter Beitrag: Sebijk