contao 2.x? kein zugriff

[matb9899]

Hallo liebe Contao Fans,

ich habe die Aufgabe übernommen die Webseite meines Chefs zu verwalten, leider der Programmierer, der das Homepage erstellt hat ist ausgewandert (er hat es geahnt :-) ), die Version von contao kann ich nicht herausfinden, die Ordner wurden in Januar 2012 erstellt und März 2012.

ich habe mehrere Thema in diesem Forum gelesen und folgende Tipp ausprobiert:

*Passwort als SHA1 (reset123) direkt in der Datenbank geändert, ohne Erfolgt
*danach Username in der Datenbank geändert, auch ohne Erfolgt

Strato BasicWeb XL
PHP Version 5.3.29
MySQL Client API version 5.0.96
Contao Version 2.X weil Crypt Routine liegt in system/libraries/User.php

Kann jemand uns helfen? Danke im voraus

MfG

Manu

[ciaobello]

Willkommen im Forum.

Die exakte Version findest Du heraus wenn Du in der Url example.com/CHANGELOG.md oder example.com/CHANGELOG.txt eingibst (Bis und mit Contao 2.11).
(example.com musst natürlich mit Deiner Domain ersetzen).

Der Username musst Du nicht ändern. Den siehst du ja im Klartext in der DB. Das mit dem reset123 muss funktionieren. Du musst nur auch die Anzahl an versuche auch wieder zurück auf null setzen und gucken dass bei admin eine 1 steht.

Lies dieses Thema noch mal genau durch.

http://de.contaowiki.org/Administrat...wort_vergessen


<humor>Guck mal unter der Tastatur vom ausgewanderten Programmierer. Da klebt sicher das PW mit einem Postit unten dran </humor>

[matb9899]

Hallo ciaobello,

danke für deine Antwort und das Willkommen, und nein, unter der Tastatur liegt leider kein Zettel mit dem Passwort Übrigens, mein contao Version lautet Version 2.10.4 (2011-12-30)

Ich habe die Seite mich angeschaut und die Änderungen angewendet, ich habe zweimal versucht mich anzumelden, auch ohne Erfolg. Aber was ist bemerkt habe, ist dass die Felder logincount und locked sich nicht geändert haben, trotz zweimal Loginfehler angezeigt hat.

authentifizierung.png

Meine Frage lautet jetzt, gibt es eine Möglichkeit die Anmeldung zu verhindern trotz richtigen Logindaten? Muss man etwas in der Datenbank ändern (als Sicherheit) um die Anmeldung möglich zu machen?, oder in dieser contao Version das Passwort wird nicht mit SHA1 verschlüsselt ich hoffe ich habe ich mich richtig ausgedruckt.

Hier schicke ich die Datenbank tl_user, vielleicht kannst du etwas entdecken.

Diese Screens wurden gemacht gleich danach nach ich zwei mal versucht habe mich anzumelden

tl_user1.png
tl_user2.png
tl_user3.png

Vielen dank im voraus.

manu

[ciaobello]

Das was Du da zeigst hat nichts mit Contao zu tun.

Das ist ein Verzeichnisschutz der vermutlich mit .htaccess gemacht wurde.

Hast Du den das Login vom Hosting Paket? Da müsstest Du zuerst mal rein und de Passwortschutz entfernen.

Erst dann hast du zugriff auf Contao. Das Was Du uns hier zeigst ist eine Meldung vom Webserver nicht von Contao.

[Kahmoon]

Das Passwort ist nicht nur SHA verschlüsselt sondern bekommt noch einen Salt hinten dran.

Du hast Zugriff auf die Datenbank wie ich das verstehe? Dann erstelle ich dir jetzt ein Passwort, das kannst du dann da eintragen. Danach sollte der Login mit dem neuen Passwort klappen.

Passwort: Sonne123

Code:

b4258d282953fe4426b5e886e54b876839418885:cbe6e8fbc7a1e434b7d958c

Ich hoffe das klappt so :-)

Edit:
Passwort in Codeblock gesetzt weil sonst ein Leerzeichen enthalten war.

[ciaobello]

Das Passwort ist nicht nur SHA verschlüsselt sondern bekommt noch einen Salt.

Du hast schon gesehen dass es sich um ein Contao 2.10 handelt? War das bei der "alten Version" auch schon so?

[Kahmoon]

Das Passwort stammt aus einem Importscript für Mitglieder, das ich bei Contao 2.11 verwende. Sollte bei 2.10 auch passen.

PHP-Code:

$strSalt = substr(md5(uniqid(mt_rand(), true)), 0, 23);
$strPassword = sha1($strSalt . "Sonne123");
$password = $strPassword . ':' . $strSalt;    

echo $password; 


Bei 3.x ist es wohl inzwischen anders..funktioniert da aber auch noch.

[tab]

Wobei ich mir nicht nur einmal auch auf eine 3.2.x auf die im Wiki beschriebene Art und Weise wieder Zugriff verschafft habe. Aber das auf dem Bild sieht wirklich aus wie ein Zugriffsschutz per .htaccess

[Kahmoon]

Ja, das erste Bild schaut nach Verzeichnisschutz vom Provider aus. Hier könnte er den Eintrag einfach in der htaccess per FTP entfernen.

[ciaobello]

example.com/contao wäre die richtige URL wenn die Installation im Root ist.

[matb9899]

Sorry dass ich nerve,

Die Installation liegt in einem Unterverzeichniss
welche Passwort Schutz? welche meinst du? hier Strato:

passwort1.png
passwort2.png

oder per htaccess:

Code:

##
# Contao Open Source CMS
# Copyright (C) 2005-2011 Leo Feyer
#
# Formerly known as TYPOlight Open Source CMS.
#
# This program is free software: you can redistribute it and/or
# modify it under the terms of the GNU Lesser General Public
# License as published by the Free Software Foundation, either
# version 3 of the License, or (at your option) any later version.
# 
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
# Lesser General Public License for more details.
# 
# You should have received a copy of the GNU Lesser General Public
# License along with this program. If not, please visit the Free
# Software Foundation website at <http://www.gnu.org/licenses/>.
#
# PHP version 5
# @copyright  Leo Feyer 2005-2011
# @author     Leo Feyer <http://www.contao.org>
# @license    LGPL
##

##
# Disable ETags
# @see http://developer.yahoo.com/performance/rules.html#etags
##
FileETag None

##
# Prevent access to the Contao template files
##
<FilesMatch "\.(tpl|html5|xhtml)$">
  Order allow,deny
  Deny from all
</FilesMatch>

<IfModule mod_mime.c>

  ##
  # Serve the correct content type for .htc files (CSS3 PIE)
  # @see http://css3pie.com/documentation/known-issues/#content-type
  ##
  AddType text/x-component .htc

</IfModule>

<IfModule mod_deflate.c>

  ##
  # Use mod_deflate to compress JavaScript, CSS, XML, HTML and PHP files.
  # @see http://developer.yahoo.com/performance/rules.html#gzip
  ##
  <FilesMatch "\.(css|js|xml|html?|php)$">
    SetOutputFilter DEFLATE
  </FilesMatch>

</IfModule>

<IfModule mod_headers.c>

  ##
  # Disable ETags
  # @see http://developer.yahoo.com/performance/rules.html#etags
  ##
  Header unset ETag

  ##
  # Add a Vary Accept-Encoding header for the compressed resources. If you
  # modify the file types above, make sure to change them here accordingly.
  # @see http://developer.yahoo.com/performance/rules.html#gzip
  ##
  <FilesMatch "\.(js|css|xml|gz)$">
    Header append Vary Accept-Encoding
  </FilesMatch>

</IfModule>

<IfModule mod_expires.c>

  ##
  # Activate the module
  ##
  ExpiresActive On

  ##
  # Specify an expiration 30 days in the future for images, JavaScripts and
  # CSS files. Edit or remove the lines to set up your own expiration logic.
  # @see http://developer.yahoo.com/performance/rules.html#expires
  ##
  ExpiresByType image/png A2592000
  ExpiresByType image/gif A2592000
  ExpiresByType image/jpg A2592000
  ExpiresByType image/jpeg A2592000
  ExpiresByType text/javascript A2592000
  ExpiresByType application/x-javascript A2592000
  ExpiresByType application/javascript A2592000
  ExpiresByType text/css A2592000
  ExpiresByType image/x-icon A2592000

</IfModule>

<IfModule mod_rewrite.c>

  ##
  # Activate the module
  ##
  RewriteEngine On

  ##
  # Set the RewriteBase if your Contao installation is in a subdirectoy and
  # the rewrite rules are not working properly. Usage examples:
  #
  #   RewriteBase /contao-2.9.0
  #   RewriteBase /path/to/contao
  #
  # Uncomment the following line to set the RewriteBase.
  ##
  #RewriteBase /

  ##
  # Contao usually does not pass absolute URLs via GET, therefore the
  # following rules block all requests that try to pass a URL or the /etc/
  # directory as parameter (malicious requests).
  ##
  RewriteCond %{REQUEST_URI} (ftp|https?):|/etc/ [NC,OR]
  RewriteCond %{QUERY_STRING} (ftp|https?):|/etc/ [NC]
  RewriteRule .* - [F,L]

  ##
  # Uncomment the following lines and replace "domain.com" with your domain
  # name to redirect requests without "www" to the correct domain. 
  ##
  #RewriteCond %{HTTP_HOST} ^domain\.com [NC]
  #RewriteRule (.*) http://www.domain.com/$1 [R=301,L]

  ##
  # If you cannot use mod_deflate, uncomment the following lines to load a
  # compressed .gz version of the bigger Contao JavaScript and CSS files.
  ##
  #AddEncoding gzip .gz
  #<FilesMatch "\.js\.gz$">
  #  AddType "text/javascript" .gz
  #</FilesMatch>
  #<FilesMatch "\.css\.gz$">
  #  AddType "text/css" .gz
  #</FilesMatch>
  #RewriteCond %{HTTP:Accept-encoding} gzip
  #RewriteCond %{REQUEST_FILENAME} \.(js|css)$
  #RewriteCond %{REQUEST_FILENAME}.gz -f
  #RewriteRule ^(.*)$ $1.gz [QSA,L]

  ##
  # Do not rewrite requests for static files or folders such as style sheets,
  # images, movies or text documents.
  ##
  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-d

  ##
  # By default, Contao adds ".html" to the generated URLs to simulate static
  # HTML documents. If you change the URL suffix in the back end settings, make
  # sure to change it here accordingly!
  #
  #   RewriteRule .*\.html$ index.php [L]   # URL suffix .html
  #   RewriteRule .* index.php [L]          # No URL suffix
  #   RewriteRule .*\.txt$ index.php [L]    # URL suffix .txt
  #
  # If you are using mod_cache, it is recommended to use the RewriteRule below,
  # which adds the query string to the internal URL:
  # 
  #   RewriteRule (.*\.html)$ index.php/$1 [L]
  #
  # Note that not all environments support mod_rewrite and mod_cache.
  ##
  RewriteRule .*\.html$ index.php [L]

</IfModule>

Nochmals vielen dank.

[Kahmoon]

Ich würde mal im "Verzeichnisschutz Manager" schauen ob hier das Verzeichnis geschützt ist.

In der htaccess steht schon mal nichts.

[matb9899]

Danke Kahmoon,

ich werde es gleich versuchen.

[tab]

Kommt drauf an, wo die entsprechende .htaccess liegt. Wenn man aufs Frontend ohne Passwort zugreifen kann, dann schon mal nicht im Installationsverzeichnis. Vielleicht liegt sie ja im Verzeichnis contao und schützt nur das Backend.

[ciaobello]

Vielleicht liegt sie ja im Verzeichnis contao und schützt nur das Backend.

Das wurde ja so empfohlen als die Sicherheitslücken in Contao bekannt wurden.

@matb9899 frag doch einfach beim Provider nach. Die haben die Möglichkeit dir zu helfen, was wir hier nicht genau können da uns der Zugrif auf das Kontrollpanel fehlt.

[matb9899]

ciaobello, kahmoon, tab, an Euch alle, vielen dank für Eure Tipps und Hilfe ,

es hat geklappt , die .htaccess-Datei lag einem Unterverzeichnis, habe ich diese umbenannt und sofort hatte ich zugriff zum Backend, natürlich habe ich sofort das Kennwort des User wieder geändert, und auch einen neuen Administrator erstellt (ich), wenn alles OK ist und sicher bin wie das Contao funktioniert werde ich der alten Admin löschen.

MfG

Manu

[ciaobello]

ist aber eine schlechte idee mit dem deaktivieren der .htaccess. Diese wurde erstellt weil es eine Sicherheitslücke gibt die man beim Login ausnutzen kann. Deshalb hat der Programmierer vor dir da ein Passwort gesetzt. Erkundige Dich in der FAQ vom Provider wie wieder ein PW hinkriegst damit /contao geschützt ist.

Das beste wäre Contao zu aktuallisieren. Aber ohne grosse Contao Kenntnisse ist das auch eine Schlechte ide.

[matb9899]

Danke ciaobello, .htaccess habe ich nur für die erste Verbindung deaktiviert danach aktiv gelassen. Bei uns es ist zuerst wichtig der Text des Homepage ab und andern zu können. In der zwischen Zeit werde ich mich mit einer einiger contao-Installation beibringen.

Dann werde ich sicher eure Hilfe wieder brauchen.

Vielen dank an euch alle.

Manu