Chrisso

Wie ich sehe und verstehe ist das ziemlich viel Kleinarbeit Besten Dank für die schnelle Hilfe!

Ich hab sogar eine Lösung für mein Anliegen gefunden... SQL Query: SELECT name,mgroup,last_activity,posts, UNIX_TIMESTAMP() AS zeit FROM ibf_members WHERE (UNIX_TIMESTAMP() - last_activity)>= '7776000' AND mgroup="3" AND posts <= 100 ORDER by posts DESC 7776000 Sekunden sind 90 Tage, mgroup 3 sind die Members und weniger als 100 Beiträge, absteigende Sortierung. Danach: DELETE FROM ibf_members WHERE (UNIX_TIMESTAMP() - last_activity) >= '7776000' AND mgroup="3" AND posts <= 100 zum Löschen. Achso, fast vergessen. Dann noch im ACP, Adminstration -> Recount Statistics.

Hallo, hier haben wir ja über die Einbruchsicherheit des Forums diskutiert und ich bin nun zu dem Entschluss gekommen, die von Blackman angesprochene Methode zu testen: die conf_global umzubennen. Nur wie stell ich das an? Ich hab schon die Daten des Forums auf conf_global durchsucht (gut mit der Windows Suche...) und hab abgesehen von ein paar HTMLs nichts gefunden. Hat jemand eine Idee die Einträge alle aufzuspüren?

Unter den gegeben Umständen, habe ich also keine Chance Selbst umschreiben kann ich nicht...

Das ist ja auch alles richtig, was du sagst Stefan, und der User hat das volle Vertrauen. Es geht eben darum, dass ich mir nicht einfach auf der Nase rumtanzen lassen kann deswegen der kontrollierte Einbruchversuch, um ihm zu zeigen, dass er nicht einfach machen kann, was er will, wenn er will. Blackman hat das soweit durchschaut, das Modul (Galerie) ist für das Forum, genau. Der User hat FTP Zugriff auf /html/ivb/galerie <- und nur auf Galerie. Die Galerie dient zum Upload von Bildern, erstellt automatisch einen Ordner mit dem Usernamen, läuft alles voll automatisch. Inwiefern auf einzelne Tabellen der DB zugegriffen wird, kann ich nicht 100%ig beantworten. Wer sich das mal ansehen möchte, kann gern mal hier klicken.

Wer den anderen Thread grob verfolgt hat, weiss, dass es sich hier um eine Art Versuch oder kontrollierten Hack handelt. Ein Moderator unseres Teams hat Zugriff auf den modules Ordner, weil er eine selbst erstellte Galerie pflegt. Es geht darum, dass er behauptet durch diesen FTP Zugriff ein PHP Skritp hochladen zu können, welches das SQL Passwort aus der conf_global ausliest, um zB. Adminrechte neu zu verteilen und so ins Board einzubrechen. Ich will dagegen halten.

Genau das ist der Punkt... Schützt htaccess da jetzt oder nicht? Ich hab gestern noch ne Stunde gegooglet, aber nichts konkretes finden können...

Ja, funzt! Jedenfalls mit der Testdatei Hoffe, das PHP Skript meines Kollegen kann nicht dagegen an Wünsch dir n schönen Urlaub!

Genau das lese ich schon seit deinem ersten Posting Besten Dank, werd jetzt klar kommen!

Besten Dank für deine Hilfe, ich weiss nun mal gern genau, was ich tue und mach nicht einfach blind drauflos.

OK, soweit klar, verstehe ich das richtig, dass durch AuthUserFile /pfad/.htpasswd und require user ABC das Ding dann einfach ins Leere läuft, weil weder User ABC, noch die htpass erstellt wurden?

Besten Dank, damit kann ich doch schon mal was anfangen! Ich hab leider keine Ahnung von .htaccess - einfach so eine Datei anlegen und mit dem og. Inhalt füllen? Was meint require user? Hier den FTP User eintragen, den ich selbst benutze? Würde also so funktionieren und verhindert ein "Aussaugen" durch PHP Skript?

Hallo Leute, ich habe mal eine relativ allgemeine Frage bezüglich der Sicherheit der Foren Software. Wir benutzen die 1.3.1 final und ich halte das System auch für sehr sicher (Hack Attack aktiv etc.) Nun ist es so, dass wir einen User haben (er hat auch ein Galerie Modul programmiert), der ein eigenes FTP Konto auf unserem Server hat - eben, um sein Modul zu verwalten. Worum gehts jetzt? Er ist der festen Überzeugung, er käme durch seinen FTP Zugang an die DB. Und ich wäre naiv würde ich das einfach als Geschwätsch abstempeln, er leistet gute Programmierarbeit und genießt mein volles Vertrauen. Er hat Zugriff auf /html/forum/galerie, muss also quasi nur den einen Pfad rauf, um an die global_conf zu kommen, in der ja DB und PW in klartext stehen. Wir sind jetzt grad dabei einen Termin zu koordinieren, um einen Hackversuch "kontrolliert" zuzulassen. Meine Frage an die Profis: was ist dran an der Sache? Was kann ich dagegen unternehmen?

Also Safe-Mode an, wäre wohl ne recht ungemütliche Methode. htaccess etc. kann ich nicht ändern, liegt beim Hoster, soweit ich weiss. conf_global scheint mir recht sinnvoll. Gibts dazu konkrete Möglichkeiten? Klar, nur User die wirklich mein Vertrauen genießen, wer dieser Fall auch, kriegen nur Zugriff. Er arbeitet ja auch mit in unserem Team, also absolut sicher. Er würde die Aktion auch nicht starten, wenn ich es ihm nicht nahezu aufgezwungen hätte Andere Domain kann ich leider auch nicht einstellen.

Also das Forum hat auf der Hauptseite auch ganz unten rechts einen Link, der heisst "Markiere alle Beiträge als gelesen". Wenn man den anklickt, bevor man das Forum verlässt, hat man beim nächsten mal ne frische Übersicht an neuen Posts.

Das, was Blackman sagt, zweite Möglichkeit! Safe Mode ist bei uns aus, der User hat mir gesagt, dass er ein PHP Skript hochlädt, was das PW aus der conf ausliest, womit er einfach an das PW zum SQL Server kommt. Da kann er dann einfach die Modifikationen vornehmen. Was ist davon jetzt zu halten, ist das ein Problem in der Boardsoftware oder was generelles, wie ist dem entgegenzuwirken? Der Versuch wird auf die Nacht zum Montag passieren.

Prune Members? Also ich wüsste nicht wo...

Hallo! Ok, ich hab mich scheinbar immer noch zu undeutlich ausgedrückt. Die o.g. Funktionen sind alle klar, aber bringen mir nicht, was ich wirklich suche. Ich suche eine Möglichkeit, alle User zu löschen, die seit 365 Tagen nicht online waren. Nicht User, die seit 365 Tagen nichts gepostet haben, denn hier können durchaus auch Leute sein, die immer noch regelmäßig reinschauen, aber nichts schreiben. Die sollen auch drin bleiben. Ich will nur die User löschen, die tatsächlich inaktiv sind. Mit 'The members last post was over [x] days ago '! werden aber auch die User gelöscht, die theoretisch jeden Tag das Board besuchen, aber nicht posten. Hier wird das Kriterium letzter Beitrag, nicht aber letzter Besuch berücksichtigt. Ich suche aber konkret nach einer Möglichkeit nach letztem Besuch zu filtern.

Ich hab mich unklar ausgedrückt. Ich will nicht ausschließlich 0-Poster löschen, ich will alle Members lsöchen, die seit 365 Tagen nicht eingeloggt waren.

Hallo Leute, ich möchte hier auch unser Forum vorstellen: das markenbezogene Forum für Hyundaifahrer mit Themen wie allgemeine Diskussionen, Tuning, Reparatur, Community etc. Das Forum ist schon seit einigen Jahren online und mittlerweile das größte deutschsprachige Hyundaiforum im Netz, aber auch mit Members aus Österreich, der Schweiz, Holland, Polen, Tschechien und sogar Canada. Im letzten August habe ich die Administration übernommen und seitdem viel verändert - zwei Softwareupdates, diverse Mods, optische Anpassungen, die den Usern, Mods und Admins die Arbeit erleichtern. Sehr viel wurde unter der Oberfläche verändert. Optisch macht sich das SmoothBlueBadge von nbsdesignz, welches allerdings stark angepasst wurde (feste Breite, anderer Hintergrund, komplett neues Buttonset mit angepasster Farbe usw.). Wir haben unsere eigene Galerie (kein Mod, selbst gecoded), eine Karte auf der sich die Fahrer mit ihrem Modell eintragen können und sogar eine eigene Visitenkarte. Würd mich freuen, wenn der ein oder andere mal reinschaut. zum Hyundaiforum

Hallo zusammen! Wenn ich über ACP bei den System Settings -> General Configuration statt des absoluten Pfads des ISP (http://web233.sv10......) meine Domain eintrage, komme ich erstens nicht mehr ins ACP und zweitens zeigt das Board dann auch nicht alle Einträge korrekt an. Wenn man mit dem Cursor auf einträge fährt, wird die korrekte URL eingetragen, aber beim klicken wird in der Adresszeile wieder auf web233.sv... aufgelöst. Das ACP lässt mich nicht rein, sagt immer "No administration session found". Ich muss dann erst wieder in der conf_global von Hand alles auf den alten Zustand ändern. Wie mir mein Vorgänger mitteilte, hatte er eine function umgeschrieben (warum auch immer), er weiss allerdings nicht mehr genau was. Ich hab neulich auf 1.3 geupdated, in der Hoffnung, dass sich das Problem damit erledigt, hat es aber nicht. Wo setz ich jetzt an, hat jemand eine Idee?

Ok, der Support sei dank, beim Hoster hatte sich ein Fehler eingeschlichen, jetzt passts mit der Boardadresse Eingetragen war www.hyundaiforum.de -> web233.sv10.pixel.de/ivb, geändert auf -> /ivb! *Erledigt*

OK, mein Fehler... Öhm, naja, wie erkenn ich das? Also sowohl der Space als auch die Domain laufen im Paket, alles bei PixelX... das wurde auch von vornherein so angelegt. Sollte ich wohl genauer nachprüfen.

Ja, so weit war ich auch schon, allerdings kann http://www.hyundaiforum.de/ivb/ nicht korrekt aufgerufen werden, weil www.hyundaiforum.de auf http://web233.sv10.pixelx.de/ivb/ zeigt... also quasi doppelt IVB (fällt mir grad auf, dass ist ja noch aus ner alten Version und will ich auch noch geändert haben). Und geht es nicht eigentlich um diesen Beitrag? Musste eben die Adressen wieder zurückschreiben, weil so jetzt gar nichts ging - Fehler 404.

Spitze, klappt super! :)