Schweres Problem beim Einloggen als admin - brauche dringend Hilfe!

[Desperado]

Hallo zusammen, da es jetzt zum zweiten Mal vorgekommen ist, dass osteuropäische Hacker versucht haben sich in eine von mir betreute Seite zu hacken - jedesmal mit über 3500 gescheiterten Login-Versuchen...!!!- hielt ich es für eine gute Idee, Benutzername und Passwort noch sicherer zu machen.

Jetzt tritt folgendes Problem auf, ich habe den Benutzernamen um 5 Zeichen verlängert. Im admin-Login ist aber für den Benutzernamen nur eine begrenzte Anzahl Zeichen vorgesehen, nämlich genauso viel wie der alte Benutzername vorher hatte, d.h. ich habe gar keine Chance den geänderten und längeren Benutzernamen einzugeben...

Was ist da passiert und was kann ich jetzt tun!?

Ich nutze noch moziloCMS 1.12.beta3

[stefanbe]

Am sichersten entzieh dem "admn" Ordner mit FTP einfach alle Dateirechte (nicht Recursive) und wenn du was ändern möchtest vergibste die Dateirecht wieder u.s.w.

lg stefanbe

[Desperado]

Hallo Stefan, hast du vielleicht ein paar mehr Step-by-Step Schritte für mich...? 

Also über FTP rein und dann genau? Wie kann ich mich dann anschließend wieder einloggen?

Danke für deine Hilfe!

[Rainer]

Z.B. mit Filezilla: Admin-Ordner -> rchtsklick -> Dateiberechtigungen = xxx
Dann ist komplett zu. Und wenn du was ändern willst, vorher die Rechte wieder zurück setzen, Änderungen vornehmen und anschließend wieder xxx

[Thorstn]

Was ich auch sehr (!) gerne mache: das Adminverzeichnis umbenennen!

Für die "alte" mozilo-Version (1.12) gibt es unter der folgenden URL die Anleitung:
http://www.mozilo.de/moziloCMS%201.12/Hilfe/Tipps%20und%20Tricks/Admin-Verzeichnis%20umbenennen.html

[Desperado]

Okay, ich habe admin über Filezilla alle Rechte entzogen. Aber wie kann ich mich selber wieder in die Seite einloggen? Es kann doch nicht sein, dass ich ein Benutzernamen mit mehr Zeichen anlegen kann, als später darstellbar und eingebbar sind...!?

[Thorstn]

Es kann doch nicht sein, dass ich ein Benutzernamen mit mehr Zeichen anlegen kann, als später darstellbar und eingebbar sind...!?

Was genau meinst Du damit?

Und... unsere Tipps hast Du aber schon gelesen, oder?

(von Rainer: Rechte entziehen... aber wenn Du was ändern willst, die Rechte temporär wieder "richtig setzen" / von Thorstn (mir): den Pfad zum Admin ändern )

[Desperado]

Hallo Thorstn, ja schon klar soweit, denke ich zumindest...
Aber egal ob mit Rechten, oder ohne Rechte, ich kann mich nicht einloggen. Mein im Ausgangspost beschriebenes Problem, ich kann den geänderten Benutzernamen nicht beim admin-Login in das dafür vorgesehene Feld eingeben, weil nicht alle erforderlichen Zeichen angenommen werden...!?

[Thorstn]

Ahhh... ähm, das ist mir neu mit der begrenzten Anzahl von Zeichen... ich denke, da wird Dir Stefanbe wohl eher was zu sagen können.

Was Du auf jeden Fall schon mal machen solltest (sofern noch nicht geschehen): eine Datensicherung via FTP.

Hattest Du denn auch schon mit dem Hoster korrespondiert wegen den Attacken?

[Desperado]

Datensicherung ist gemacht.
Tja wegen der Attacken, an wen kann man sich da wenden? Meinst du der Hoster kann da irgend etwas unternehmen?

[Thorstn]

Tja, kommt auf den Hoster an. Wenn der komplette Server komprommitiert ist, wird der Hoster eh was tun müssen. Melde Dich bitte  -soweit noch nicht geschehen - baldmöglichst bei Deinem Hoster. Der wird Dir schon sagen, was er tun kann oder Du tun kannst / musst. Aus der Ferne ist so eine Diagnose immer etwas schwer 

Solange Du eine (aktuelle) Sicherung der Dateien hast, ist - erstmal - nichts Schlimmes passiert. Alles Weitere solltest Du mit dem Hoster abklären. Vielleicht hat Stefanbe noch eine Idee wegen den Zeichen und der Nicht-Möglichkeit des Einloggens.

Viel Glück und Erfolg! Und auf jeden Fall und trotz allem: ein schönes und friedliches Weihnachtsfest! 

[Desperado]

Ja, vielen Dank für deine Hilfe soweit. Dann hoffe ich mal noch auf Stefanbe...

Frohe Weihnachten und schöne Feiertage! 

[laborix]

... Tja wegen der Attacken, ...

Wenn die einen Apache Server hast der mit einer .htaccess umgehen kann, dann blockiere die IP-Adressen der Login Versuche. Diese kannst du deinen Webspace Logs entnehmen.

Beispiel:

Code Auswählen Erweitern

# block following addresses
Order Allow,Deny
Deny from xxx.xxx.xxx.xxx
Deny from ...
Allow from all
Ist halt Arbeit diese IP-Adressen zu ermitteln. Leider hat das bei mir dazu geführt das andere IP-Adresse verwendet wurden. Interessant war das, weil zwei Wochen Ruhe war. Inzwischen blockiere ich eine ganze Menge.

[Desperado]

Hallo Stefanbe, wenn du mitliest, nützt es etwas wenn ich in diesem Bereich am Login-Formular rumbastel...!?

// Aufbau des Login-Formulars
function login_formular($enabled) {
    global $CHARSET;
    $form = "";
    if ($enabled)
        $form .= "<div id=\"loginform_maindiv\">";
    else
        $form .= "<div id=\"loginform_maindiv_disabled\">";
    if ($enabled)
        $form .= "<form accept-charset=\"$CHARSET\" name=\"loginform\" action=\"".htmlentities($_SERVER['PHP_SELF'],ENT_COMPAT,$CHARSET)."\" method=\"POST\">";
  $form .= "<table id=\"table_loginform\" width=\"100%\" cellspacing=\"10\" border=\"0\" cellpadding=\"0\">"
      ."<tr>"
      ."<td width=\"5%\" rowspan=\"2\" align=\"center\" valign=\"middle\">"
      ."<img src=\"gfx/login.gif\" alt=\"Login\"/>"
      ."</td>"
      ."<td width=\"5%\" class=\"description\">"
      .getLanguageValue("username").":"
      ."</td>"
      ."<td>";
  if ($enabled)
        $form .= "<input type=\"text\" name=\"username\" size=\"15\" maxlength=\"20\" class=\"login_input\" autocomplete=\"off\">";
    else
        $form .= "<input class=\"login_input\" type=\"text\" size=\"15\" name=\"username\" readonly=\"readonly\" autocomplete=\"off\">";
  $form .= "</td>"
      ."</tr>"
      ."<tr>"
      ."<td class=\"description\">"
      .getLanguageValue("password").":"
      ."</td>"
      ."<td>";
  if ($enabled)
        $form .= "<input class=\"login_input\" size=\"15\" maxlength=\"20\" type=\"password\" name=\"password\" autocomplete=\"off\">";
    else
        $form .= "<input class=\"login_input\" size=\"15\" type=\"password\" name=\"password\" readonly=\"readonly\" autocomplete=\"off\">";
  $form .= "</td>"
      ."</tr>"
      ."<tr>"
      ."<td colspan=\"3\" style=\"text-align: center;\">";
  if ($enabled)
      $form .= "<input name=\"login\" value=\"Login\" class=\"login_submit\" type=\"submit\">";
  else
      $form .= "<input name=\"login\" value=\"Login\" class=\"login_submit\" type=\"submit\" readonly=\"readonly\">";
  $form .= "</td>"
      ."</tr>"
      ."</table>";
  if ($enabled)
      $form .= "</form>";
    $form .= "</div>";
    return $form;

Und welchen Wert ändere ich am besten, um mehr Zeichen im Feld "Benutzername" und "Passwort" unterzubringen?

[laborix]

..., um mehr Zeichen im Feld "Benutzername" und "Passwort" unterzubringen?

Wozu?

Im Internet gibt es den MS Passwort Checker. Lustig, wenn ich als Passwort "1234567890123" eintippe, also ab 13 Zeichen sagt mir dieser "sehr gutes Passwort" 

Wenn du ein Passwort mit hoher Sicherheit haben möchtest wo sich sämtliche xyz-cracks sich die Zähne ausbeißen genügen in der Regel 10 Buchstaben bei folgender Konstellation:
Großbuchtabe, Kleinbuchstabe, Sonderzeichen wie zum Beispiel "§$%&()=?" und (typisch Deutsch) "öäüß". Somit hat ein normales Programm zum Abspulen aller Möglichkeiten geschätzt 1 Jahr volle Beschäftigung.

Wenn man allerdings 10 Buchstaben verwendet, die zum Beispiel Namen oder Datum enthalten wie "sony","nintendo", "Samsung" und dann ein Datum wie "1999" oder "November" oder "Nov" oder "24-12-2014" geht das alles viel viel schneller wegen zig-Millionen vorgefertigte Wortlisten im Internet.

Also baue dir lieber ein Passwort wie zum Beispiel "rZ$fJä47ß0" dann sorgst du für notwendige Passwort Stärke...