"Reingeh-Rechte" deaktivieren?

[Darthshoot]

Hallo!

Ich weiß net ob ich hier richtig bin, aber ich fang einfach mal an..:

Ist es möglich irgendwie einen Ordner so zu sperren, dass man nur noch rein kommt, wenn man ein .php Loginscript richtig ausgefüllt hat? Das Problem:

Wenn man sich einloggt, kommt man in den Ordner "admin" und in diesem befinden sich:

1. login.php <--- kontrolliert ob Login richtig war.
2. ein Ordner mit Buchstaben und Zahlen, auf die man so nicht kommt.
<- darin befindet sich der Adminbereich, wohin man kommt, wenn login.php den Loginversuch als richtig bestätigt hat. Wenn ich mich allerdings beim Einlogformular befinde (unter dem Ordner Admin) dann kann ich auf Quelltext gehen und sehe, dass das Formular in admin/login.php geschickt wird. Wenn ich jetzt admin nehme und ihn an den Link in der Internetleiste zufüge, komme ich in ein weißes Servermenü, wo ich mir aussuchen kann, ob ich login.php öffne, oder den Ordner zum Adminbereich. Folge: GEHACKT!

Wenn man diesen Ordner jetzt sperren könnte und ihn nur noch über login.php betreten könnte, wären alle meine Probleme gelößt. Hoffe ihr könnt mir helfen!

Danke im Voraus.
MfG Darthshoot

 

[Alti]

Das geht per .htaccess

Order deny,allow
Deny from all

das packst du in eine Datei die du ".htaccess" nennst.
Und diese Datei packst du dann in das Verzeichnis was geschützt werden soll.
Jetzt kannst du aber Inhalte aus diesem Ordner nur über das Filesystem aufrufen, das heißt include.

MFG
Alti

 

[Darthshoot]

Halt! Ich habs! CHMOD 100. Jetzt kann man noch reingelinkt werden, aber nicht mehr so reingehen. Gibt es noch irgendeine möglichkeit meine Seite zu hacken? Ich muss das wissen, denn es ist sehr warscheinlich, dass meine Seite einige Hackangriffe überstehen muss.

 

[FleyerShaver]

Andere Lösung, man könnte die Dateien mit session belegen.

 

[Darthshoot]

Jojo, aber dafür bin ich scheinbar zu dumm.

Gibt es ne Möglichkeit Serversachen per PHP Script auszuführen? Wie z.B. CHMOD ändern, oder Backup von Serverdaten machen lassen?

 

[FleyerShaver]

klar geht das alles. Guck mal auf www.hotscripts.com da findest du genügent.

 

[kratzbaum]

Du mußt außer der .htaccess auch wahrscheinlich die httpd.conf ändern

<Directory />
    Options Indexes FollowSymLinks Includes
    AllowOverride None
    Order deny,allow
    deny from all
</Directory>

 

[w7]

oder ganz einfach eine Index machen die die Login includet und dadurch wird die Index aufgerufen...