Astiob Protected ROOT v1.2 PDR 1

[Чёртос-2]

Мод: Astiob Protected ROOT v1.2 PDR 1

Категория: Моды

Совместимость: 2.0.x

Описание:

• Защищает юзверей (вероятно, админов) от изменения другими админами;
  
• Добавляет в Админцентр второй (общий для всех админов) пароль;
  
• Добавляет в форму входа в Админцентр случайное число на картинке (как при регистрации).
  

Текущая версия: 1.2 PDR 1.

 

Обновление 3 сентября:

Здесь доступен апгрейд с 1.1b до 1.2 PDR 1.

 

Обновление 2/3 сентября:

Выложена версия 1.2 PDR 1.

 

Обновление 26 марта:

Исправлен баг.

 

Изменения в версиях 1.1а и 1.1b:

• Исправлены баги.
  

Изменения в версии 1.1:

• Переписана фича "Защита юзверей";
  
• Добавлена фича "Двойной пароль ACP".
  

Инструкции по установке:

Просто скопируйте файл install.php в корневую папку форума, запустите и следуйте инструкциям.

 

Отдельная благодарность WNN за предоставленные баг-репорты.

 

Подробнее...

Скачать

[Zeon84]

а поподробнее можно?

[Чёртос-2]

а поподробнее можно?

Можно. Сейчас я напишу то же самое, что написал в самом файле, который лежит в архиве.

 

Многие "взломы" форумов производятся так: хакер, получивший доступ к Админцентру, переводит форум в режим Offline, после чего настраивает права разных юзверей так, что доступ к форуму и к Админцентру имеет только он сам. Это можно сделать, изменив группу всех остальных админов, сменив их пароли, удалив их и т.д.

 

Это добавление запрещает любым другим админам, кроме юзверя №1, редактировать этого самого юзверя №1 (подразумевается, что он остался главным админом). Таким образом, после взлома создатель форума сможет снять Offline и "оживить" форум.

 

Думаю, завтра выложу обновление - версию 1.1, которая предотвращает ещё одну возможность "взломать" форум через Админцентр.

[GiV]

Чёртос-2 не плохо было бы ввести еще логин в виде HTTP-AUTH на файлик admin.php

 

тут еще можно почитать: Как защитить форум от взлома?

[Чёртос-2]

Чёртос-2 не плохо было бы ввести еще логин в виде HTTP-AUTH на файлик admin.php

Это можно. Даже сделал. Завтра обновлю (сорри, для Москвы - уже сегодня... ) свой мод в архиве, в нём будет подробное описание.

"Ещё одна возможность взлома", о которой я говорил раньше, будет предотвращена в версии 1.2.

[GiV]

Чёртос-2 было бы не плохо, добавил бы ваш мод в тот топик. Если есть какие то проблемы спрашивайте по ПМ.

[Чёртос-2]

Мод версии 1.1 будет только завтра... Не успел я даже до сегодня!

 

Описание изменений в версии 1.1.

• Добавлена функция (feature) "Двойной пароль ACP";
  
• Изменения в остальной части. Особенно - переделана полностью часть "Админы не могут трогать админа-ROOT". В связи с этим можете уже убирать изменения, сделанные для версии 1.0.
  Также введена защита всех юзверей из группы "ROOT Admins", а не только юзверя №1.
  

Изменено 5 Марта 2005 пользователем Чёртос-2

[Dr.Freddy]

Чёртос-2

Также введена защита всех юзверей из группы "ROOT Admins", а не только юзверя №1.

А ROOT админ сможет остальных админов корректировать / удалять?

[toha]

Чёртос-2

только выложи, когда закончишь, а то интересная вещица у тебя в производстве

[Чёртос-2]

А ROOT админ сможет остальных админов корректировать / удалять?

Конечно, сможет! Но с хитростью: при установке мода надо указать номер самого главного админа, и он сможет редактировать всех остальных... А просто админы из группы ROOT Admins друг друга менять не смогут, но смогут всех других.

 

Короче:

1. Если ты самый главный админ (=root в Linux), ты можешь менять/удалять/и т.п. всех.
   
2. Если ты просто участник группы ROOT Admins, ты можешь менять всех, кроме самого главного.
   
3. Если ты любой другой админ, ты можешь менять всех, кроме ROOT-админов.
   

[xetter]

Блин, фигня выходит...

Fatal error: Call to undefined function: member_allowed_edit() in /***/sources/admin/ad_member.php on line 71

switch($ibforums->input['code'])
  {
  	case 'doform':
    if($this->member_allowed_edit())
    $this->member_do_edit_form();
    break;
  	case 'doedit':
    if($this->member_allowed_edit())
    $this->member_do_edit();
    break;
  	//-----------------------------------------

Версия форума 2.0.0 PF2 (20007)

[GiV]

xetter инструкции все внимательно выполняем.

[Чёртос-2]

xetter инструкции все внимательно выполняем.

Это точно!

 

To xetter:

Ты вставил код после закрытия switch (в readme указан номер строки)?

 

P.S. В связи с тем, что я делаю небольшой инсталлятор, релиз версии 1.1 может затянуться ещё на денёк-другой.

Но я постораюсь выложить завтра.

 

P.P.S. Я стараюсь, как могу - просто в эти выходные то мы ехали в гости, то к нам приходили...

[Lender]

а для IPB 1.3 это можно использовать?

[Чёртос-2]

а для IPB 1.3 это можно использовать?

Конкретно это — нет. Но после выхода версии 1.1 я попробую реализовать такой мод и для IPB 1.3.

 

P.S. Даже сделаю совместимым с ModInstaller.

[toha]

Чёртос-2

что-то еще новго планируешь внести в мод или все, что было написано ранее?

[Чёртос-2]

что-то еще новго планируешь внести в мод или все, что было написано ранее?

Что есть (будет) в моде:

• 1.0
  • Защита ROOT-админа v1.
    

  [*]1.1

  • Защита юзверей v2 (переписана);
    
  • Двойной пароль ACP.
    

  [*]1.2

  • Защита юзверей v2;
    
  • Двойной пароль ACP;
    
  • Цифры при входе;
    
  • Анти-KeyLogger;
    
  • ВСЯ информация админов скрыта.
    

  [*]2.0

  • Защита юзверей v2;
    
  • Двойной пароль ACP;
    В версии 2.0 или позднее предпологается сменить систему второго пароля (v2).
    
  • Цифры при входе;
    
  • Анти-KeyLogger;
    
  • Страница с настройками в админцентре;
    
  • Новые свойства у пользователей и групп.
    

Последнее изменение списка: 22 сентября 2005 г.

 

Также была идея написать систему, проверяющую SQL-запросы на наличие команд вроде DROP TABLE ibf_cache_store и т.д.

Изменено 22 Сентября 2005 пользователем Чёртос-2

[toha]

Чёртос-2

да, интересно очень

очень хороший мод ты задумал

с нетерпением жду

[Чёртос-2]

Ну, всё. Мне эта задержка с выпуском версии 1.1 надоела. Эй, Чёртос-2, выпускай давай!

 

Короче, версия 1.1 должна быть готова завтра. Потому что мне самому эта задержка действительно надоела.

 

Ха-ха!!!

Я опять завалил все сроки...

Ну всё. Мод почти готов, постораюсь сделать завтра (первый полностью свободный день на всей неделе! ).

Изменено 12 Марта 2005 пользователем Чёртос-2

[WNN]

почему то в 2.0.3 не работает... захожу в править юзера а она пишет типа fatal erorr... такая же ошибка:

 

To xetter:

Ты вставил код после закрытия switch (в readme указан номер строки)?

код вставлен. всё как по инструкции.

 

 

типа неизвестная функция и всё такое...

и ещё если можешь сделай установочный файл таким:

 

Найти это:

******************************

Заменить на:

daskjdfkjasnfasnf

так будет проще

Изменено 11 Марта 2005 пользователем WNN

[Чёртос-2]

захожу в править юзера а она пишет типа fatal erorr... такая же ошибка:

 

To xetter:

Ты вставил код после закрытия switch (в readme указан номер строки)?

код вставлен. всё как по инструкции.

 

типа неизвестная функция и всё такое...

Странно... ОЧЕНЬ странно... Может, v1.1 заработает...

 

и ещё если можешь сделай установочный файл таким:

 

Найти это:

******************************

Заменить на:

daskjdfkjasnfasnf

так будет проще

Да, так и будет. Только не "заменить", а "вставить снизу/сверху". Но такого, как в v1.0 было с этими "case", точно не будет.

 

P.S. Может, ту функцию, которой якобы нет, просто случайно вставили не туда? Точнее, не случайно, а по непонятной инструкции...

Изменено 11 Марта 2005 пользователем Чёртос-2

[WNN]

Да, так и будет. Только не "заменить", а "вставить снизу/сверху".

т.е. над/под строкой? =)))))))

 

Но такого, как в v1.0 было с этими "case", точно не будет.

гыы))) лол))) я ваще поугарал когда инсталлил))) типа вот сюда и вот сюда! и так вот с этими)))

лол)

 

P.S. Может, ту функцию, которой якобы нет, просто случайно вставили не туда? Точнее, не случайно, а по непонятной инструкции...

хз. моежет я не так инструкцию понял) лол) может напишешь другую инструкцию, а то я не совсем понятно что куда пихать) или дашь разнеснения с этими case?)

 

Updated by me:

Блин! Я понял в чём глюк. Там такая фигня была:

После закрытия команды 'switch' (около строки 178) встатьте этот код:

А в коде там идёт так:

switch() { ********************* }

Но когда я вставил оказалось что типа фатал ерорр. Вставил после ещё одной закрывающей штучки } и всё чудесным образом, неизвестным даже самому богу(! уязвимость в системе жизни), всё заработало! гуд!)

 

и кстати, поскорей бы уже новая версия.. а то на форуме своём в админку права другу дать, а страшно. вдруг он меня удалит..

 

и кстати, не в курсе, как в админке убрать Quick Jump? а то через него с главной страницы можно далеку залезть даже если стоит Special Admin Access от D2..

Изменено 11 Марта 2005 пользователем WNN

[Чёртос-2]

Вставил после ещё одной закрывающей штучки } и всё чудесным образом, неизвестным даже самому богу(! уязвимость в системе жизни), всё заработало!

Блин, может я этой скобки не заметил?

 

и кстати, не в курсе, как в админке убрать Quick Jump?

Это надо снова редактировать файлик.

 

а то через него с главной страницы можно далеку залезть даже если стоит Special Admin Access от D2.

Далеко - это куда?

 

З.Ы. Такого мода я не нашёл (через поиск) ни здесь, ни на Invisionize. Расскажи, что он делает...

 

З.З.Ы.

т.е. над/под строкой? =)))))))

Да, а что такое?

Изменено 11 Марта 2005 пользователем Чёртос-2

[WNN]

я там сам нифига не понял, пршлось методом тыка пробовать... в итоге получилось)

 

я его коротко написал) его полное название:

Special Administration Access 3.0.5

http://www.mods.invisionize.com/db/index.php?f=3967

Мод позволяет юзерам, имеющим доступ к админке назначать отдельные функции администрирования) типа одному юзеру можно в админке тока создавать форумы и управлять юзерами,другой скины редактирует, а третий вообще правит файлы help'а и управляет смайлами.

принцип понятен?

ЗЫ: чтобы назначать доступ надо создать/отредактировать группу юзверей и дать им доступ в админку.

 

Так какой файл надо исправить чтобы убрать quick jump? и строку желательно)

 

поскорей бы новая версия мода... а то на мой форум DoS атаку устроили...

и кстати что означает параметр server load limit? в cpu saving&optimization

[WNN]

Quick Jump - как его убрать?

 

файл: /sources/admin/admin_skin.php

Строка 1183 (примерно):

	function print_foot() {
 
 return "<br />
   <div align='right' id='jwrap'><strong>Quick Jump</strong> <!--JUMP--></div>
   <div class='copy' align='center'>Invision Power Board &copy ".date("Y")." <a href='http://www.invisionpower.com' target='_blank'>IPS, Inc.</a></div>
    </body>
    </html>";
}