[ANFRAGE] Board-Schutz

[ThaRipsta]

leider muss ich feststellen, dass in unserer community die admins momentan starkre probleme haben.

Ich möchte nicht "ausgebootet" oder verarscht werden und habe deswegen folgende anfrage:

Ich möchte nicht, dass jemand MEIN modifiziertes board benutzt (alle haben ftp zugang) und deshalb möchte ich folgendes einbauen:

an einer stelle auf dem board hätte ich gerne, dass mit meinem PRIVATEN server verbunden wird, und nach einer datei gecheckt wird.

Wenn die da ist, supi: es wird weiter geparst

ist die datei nicht vorhanden: DIE!!
(hoffe das macht nicht allzuviel traffic :-//)

Am besten sollte die funktion richtig schön versteckt sein


Oder hat jemand ne andere idee, wie man ein board vorm "kidnappen" schützen kann?

[Bootenks]

Gibt es bei sowas nicht immer deb Main-Admin? Also der oberboss der falls was nicht nach seinen geschehen läuft die anderen zugriffe einfach runterschmeissen kann?

ich kann mich auch irren...

[ThaRipsta]

hab das..aber will sicher gehen

[SethDeBlade]

ich habe da zufällig die tage einen hack auf phpbbhacks gefunden

Code: Alles auswählen

############################################################## 
## MOD Title: 	Stop unauthorized users accessing your phpbb folders!
## MOD Version: 	1.0.0
## Author: 		Ingomania (James Ingham) < ingomania_182@yahoo.co.uk > < http://www.ingomania.tk>
##
## Description: 	Re-directs your users to the index if they try sneak into your directories!
## 
## Installation Level:	easy 
## Installation Time:	1 minutes 
## Files To Edit (1):	All index.htm's!
## Included Files (0):	none
## 
##############################################################
##
## Revision History:
##
## v1.0.0 13/06/2004
##  - it works!
############################################################## 
## Before Adding This MOD To Your Forum, You Should Back Up All Files Related To This MOD 
############################################################## 
# 
#-----[ OPEN ]-------------------------------------------- 
# Note this should be doen to all index.htm files in every directory
# Obviously not the root! 
#
#
index.htm

#
#-----[REPLACE]-------------------------------------------- 
# The whole file with

<html><meta HTTP-EQUIV="REFRESH" content="0; url=http://www.yoursite.com/phpBB2/index.php"></html>

#Chage www.yoursite.com/phpbb2/index.php to your site!
# 
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------ 
# 
# EoM 

schau mal, ob es das ist, was du willst

hm, jetzt da ich dein posting noch ein 4tes mal gelesen habe, glaube ich nicht, dass es das ist, was du suchst.


schalte doch einfach den ftp-access ab

kannst du den leuten nicht ein verzeichnis zur verfügung stellen, in dem sie ihre sachen uploaden können, aus dem sie nicht mehr rauskommen?? oder müssen die alle zugriff auf deine forenfiles haben??

[Bootenks]

jep so in der art dachte ich mir das auch... und hast du soviel an deinem Forumzu manipulieren das du extra leuten einen account gibst damit sie basteln können??? also ich hab irgendwas an die 50-60 Mods drinnen können auch weniger sein ... ich werde die noch in einklang bringen und dann grafische Anpassungen machen naja und dann steht das ... ok esgibt ab und zu updates oder neue sachen die man einbauen will aber das ist doch nicht die masse oder? oder verwaltest du noch andere sachen

hoffe dass mir jetzt keiner mit ich habe 200 mods und mir reichts noch nicht kommt... also den halte ich dann eher für ein Sportler der für die Olympiade 2004 übt... sachen gibt es...

[ThaRipsta]

also wir sind 3 leute, die gemeinsam einen server haben..alle gleiche rechte.

ich mache das board und hab viel arbeit und "gimmicks" reingesteckt..und eine grosse community aufgebaut....das will ich mir nicht einfach "stehlen lassen" (wir haben private probleme unter den besitzern)

Will das board also "normal" laufen lassen aber eine art NUR VON MIR ALLEIN KONTROLLIERTE "sicherung" drin haben.

Dachte mir also eine abfrage nach einem file auf meinem (nur meinem) webspace (irgendwo)...wenn die "meine" files stehlen, lösch ich das file..und nichts geht

Damit die das nicht so einfach finden, würde ich das gerne irgendwie im board (script) gut "verstecken"

[oxpus]

Also, ich würde das Main Admin niemanden auf den Webspace direkt per FTP zugreiffen lassen. Immer nur auf Kopien. Da können die dann Basteln, wie sie wollen und die Dateien vorher anfordern. Oder man entzieht Ihnen die Rechte, wenn man kein Vertrauen hat.

[ThaRipsta]

kann ich nicht machen, da das nicht mein eigener server ist....hat ja jeder gleiche (ftp, zugriffs, etc-rechte)!

[oxpus]

Du kannst aber doch die FTP-Passwörter ändern, oder?

[ThaRipsta]

ja, aber ich habe das board direkt auf dem root..und alle haben zugriff auf diesen :-(..also muss es script-intern sein

[Bootenks]

ist das dann aber nicht eine illeagel sache? wenn ihr zu dritt wasgekauft habt und du bootest die anderen beiden aus so dass du alleine die Kontrolle hast?

bei allen privatkonflikten aber geht das nicht zu weit? ich möchte hier wirklich nicht den Richter spielen aber ich fände das nicht gut. Einige dich lieber irgendwie mit deinen "noch" Freunden und teilt den Server so das jeder nur seinen Teil managen kann. Und das mit dem Klau ist auch so eine Sache schliesslich haben die anderen ja mitgearbeitet und tragen sicherlich auch einen Beitrag an den Kosten des Severs. Also ist es euer Board auch wenn nur du dran gebastelt hast... Du konntest es ja nur da du die Ressourcen hattest...

das wärs schon

[ThaRipsta]

das ist ja die sache!! Das board ist alleine meine arbeit!! Und ich will niemanden ausbooten! Will nur nicht, dass meine "Arbeit" OHNE mich benutzt wird!!
Ja, der server gehört uns allen zu gleichen rechten...will einfach nur meine arbeit mit nem "wasserzeichen" versehen!

[oxpus]

Dann lass doch die anderen nur nicht an "Deine" Files ran, sondern nur nach Anfrage. Dann können die ansonsten auf dem Server machen, was sie wollen.

[ThaRipsta]

das ist ja auch das problem!! alle files sind für <b>alle</b> verfügbar! (auf dem server)..ich kann da nichts serverseitig "sperren".

Deshalb eben: Script-basierte "sicherung"!

[oxpus]

Wie nichts sperren? Ach so, jetzt hab ichs: Ihr habe alle root-Rechte auf dem Server?
Hm, dann wird es schwer, denn jedes Script könnte ein anderer ausschalten.

[ThaRipsta]

Ja, problematisch bleibts immer!!

Aber die "anderen" kennen sich nicht mit der phpbb struktur aus...also, wenn man eine funktion irgendwo in ein (benötigtes) includiertes File reinbastelt, könnte es schwer werden, das zu finden!
Deswegen auch meine idee nach einer abfrage einer externen datei (die von mir gelöscht werden kann)

(Bsp.: Przemo hat das alles ja auch so verschachtelt, dass oxpus' probleme hate funktionen zu finden:D)

[oxpus]

Öhm, Probleme das alles zu finden hatte ich nicht, nur wenn ich ständig PopUps geladen bekomme und das von lokaler Installation aus dem Internet und wer weiß,
was das Board da noch treibt, dann fasst ich sowas nicht an.

Zurück zu Deinem Problem:
Ich wüsste nicht, wie man ein solches Script verwenden und schützen sollte, wenn jeder vollen Zugriff auf alle Scripte hat. Dann kann man das Board ebenfalls "entwenden" und nachträglich die Prüfung ausbauen.
Das funktioniert eben alles nur, wenn die Zugriffsrechte auf dem Server geändert werden.
Solange jeder volle Rechte hat, ist da nichts möglich.

[ThaRipsta]

Ja, die prüfung wird man ausbauen können!

aber, wenn sie gut "verschachtelt" ist (in verschiedenen files includiert) wird das schon bissl schwerer!!

wills den jungz halt bissl schwerer machen, falls die das versuchen wollen

[oxpus]

Mal durchgedacht:
Wenn man in einem Script eine Prüfung einbaut, die durch zig Umwege von anderen Scripts aufgerufen wird, ist es ein einfaches durch Suchen innerhalb der Dateien die letztendliche Funktion ausfindig zu machen und auszubauen.
Das geht mehr als schnell, für ungeübte innerhalb weniger Minuten.
Einen Schutz stellt das daher nicht mal annähernd dar.
Also kann man es auch gleich bleiben lassen.

[ThaRipsta]

ja!!...je mehr dateien, desto aufwändiger die suche!! v.a. wenn man keine ahnung von php und phpbb hat!!
Ist wie mit ner raubkopie!! alle geschützten cds kann man kopieren, wenn man sich auskennt und zeit hat diese zu cracken!!

Will es nur UMSTÄNDLICH machen...möglich bleibts immer!!
Man könnte ja ne kombi aus db abfrage und script machen!!

[AmigaLink]

Also ich finde diese maßnahme ein wenig Übertrieben!

Wie sieht das denn nun genau aus?
Ihr habt zu dritt einen Server gemietet auf dem ihr alle 3 root rechte Besitzt!
Du hast dort ein phpBBoard installiert und selbiges gemoddet!
Was machen die anderen beiden?
Haben die eigene Projekte auf dem Server oder haben sie mit dir die Community aufgebaut?
Wenn sie eigene Projekte haben sollten, dann schnapp dir dein Board sammt Datenbank und zieh auf einen eigenen Server!
Wenn die beiden an der Community mitgearbeitet haben, dann lass alles wie es ist. Denn dann haben sie die gleichen rechte wie du!

[ThaRipsta]

also:

wir besitzen zu 3 einen server (in den usa)
wir sind 2 amis und ein deutscher (ich)
Wir zahlen den Server durch werbe-einnahmen und die amis ein wenig aus eigener tasche.
Auf dem server laufen mehrere projekte...eins davon (das wichtigste und grösste) ist mein projekt: phpbb mit riesen community

Ich habe gerüchte gehört, die amis wollen mich (deutschen) loswerden und das project selber weiterführen...

das willl ich nicht...verständlich

Deshalb: will das board weiterlaufen lassen (kann ja nur ein gerücht sein)...aber mit einer möglichkeit das board "unbenutzbar" zu machen (auf script-ebene)

Das ist die ganze story!!

[AmigaLink]

Hmm - recht verzwickt!
Loswerden könnten die beiden dich indem sie deinen root zugang sperren bzw. die evtl. gemeinsam rechte ändern ohne dir die neuen Daten zukommen zu lassen.
Und ein reines "unbrauchbar" machen des Boards über ein verstecktes Skript nutzt dir eigentlich auch nicht wirklich etwas!
Wenn du sowas einbaust solltest du darauf achten das beim starten des Skripts, bzw. kurz bevor das Board unbrauchbar wird, ein Mail an alle Mitglieder rausgeht in der eine neue URL für das Board ist, welches natürlich auf einen Server liegt zu dem nur du zugriff hast! Dadurch könntest du zumindest die Community schonmal retten. Was natürlich auch nur wirklich klappt wenn du immer ein möglichst aktuelles Backup des Datenbank dein eigen nennst.

Die Zerstörung des Boards könnte ich mir dann so vorstellen:
Deine Idee mit der externen Datei ist schonmal garnicht übel! Ich würde dabei aber noch einen Schritt weitergehen und nicht nur ein paar Boardfunktionen abschalten sondern beim fehlen der externen Datei sogar wichtige Teile der Datenbank löschen! :hot:
Dann haben die beiden nicht nur das Problem das sie ein ihnen unbekanntes Skript suchen und entfernen müssen. Nein sie müssen auch noch eine fehlerhafte Datenbank wieder herstellen! Was dir ein wenig Zeit gibt, die Community auf dem neuem Server zu etablieren!
Das Problem dabei wäre aber nicht nur ein möglichst gutes verstecken des ensprechenden Skripts, sondern auch das selbiges nicht ausgeführt werden darf nur weil mal der Server mit der externen Datei ausgefallen ist!!! Von daher wäre wohl das Prüfen von mehreren Dateien auf unterschiedlichen Seiten anzuraten!
Auch sollte das Skript nicht ständig aktiv sein, damit die Performance des Boards nicht beeinträchtigt wird. Evtl. könnte das Skript gestartet werden wenn jemand einen geheimen bbcode postet?!?

// EDIT
Ein bischen viel aufwand aufgrund eines unbestätigten Gerüchts! :rolleyes:

[ThaRipsta]

hehe!! trotzdem eine gute idee!

[AmigaLink]

Leg dich nicht mit dem bestem an, denn du wirst sterben wie alle dann!