|
Titel: Frage wegen Whitelist nvtracker Beitrag von: Broesel01 am 13 Juli 2010, 03:06:35 Hallo zusammen,
ich hoffe es kann mir hier jemand helfen. Nachstehende Eintrag habe ich als Angriff erhalten. Dies ist jedoch kein Angriff. Derzeit habe ich folgenden Eintrag in der Whitelist: Zitat passkey=,&info_hash=,&peer_id=,port=,&uploaded=,&downloaded=,&left=,&no_peer_id=,&compact=,&key,passkey,info_hash,peer_id,port,uploaded,downloaded,left,no_peer_id,compact,key,announce.php? Trotz allem wird geblockt :( Wie kann ich es bewerkstelligen, dass nicht geblockt wird? Schon jetzt Danke für eure Hilfe. Zitat Erster Angriff: am 13.07.2010 - 02:07:39 Angriffe in Stunde: 02 1 QUERY_STRING passkey%3D9ce07b7d92cf49fa%26info_hash%3D%20n%606m%FD%C6%F8%A6%E2%02%D1%D9%CC%BDt%95k%DF%09%26peer_id%3Dt03i-----ndiotnsygxc%26port%3D52527%26uploaded%3D1497682023%26downloaded%3D0%26left%3D0%26no_peer_id%3D1%26compact%3D1%26key%3Dqq2e8l REMOTE_ADDR xxx.xxx.xxx.165 WHOIS_REMOTE_ADDR http://whois.domaintools.com/xxx.xxx.xxx.165 HTTP_USER_AGENT xyz/ab.cd.ef HTTP_REFERER xxx.xxx.xxx.165 CONTENT_TYPE HTTP_COOKIE SERVER_PROTOCOL HTTP/1.1 REQUEST_METHOD GET REQUEST_URI /announce.php?passkey=9ce07b7d92cf49fa&info_hash=%20n%606M%FD%C6%F8%A6%E2%02%D1%D9%CC%BDt%95k%DF%09&peer_id=T03I-----nDiOTnSyGxC&port=52527&uploaded=1497682023&downloaded=0&left=0&no_peer_id=1&compact=1&key=Qq2E8L FULL_REQUEST_URI http://xxx.com/announce.php?passkey=9ce07b7d92cf49fa&info_hash=%20n%606M%FD%C6%F8%A6%E2%02%D1%D9%CC%BDt%95k%DF%09&peer_id=T03I-----nDiOTnSyGxC&port=52527&uploaded=1497682023&downloaded=0&left=0&no_peer_id=1&compact=1&key=Qq2E8L Titel: Re: Frage wegen Whitelist Beitrag von: schlumpfi am 13 Juli 2010, 18:19:55 hallo
hierbei ist das probelm der info_hash= ich gehe davon aus, das du drupal nutzt in verbindung mit einem bt tracker ?! der infohash erzeugt eine zeichencodierung, die dieses sonderzeichen enthält: ` oder %60 ´ oder %B4 als whitelist nachfolgendes ergänzen `,%60,´,%B4 bei problemen nochmal melden. weiterdessen mal bitte deine laufende drupal version und das modul mit versionsangabe nennen. können wir dann nachtragen bei uns... mfg Titel: Re: Frage wegen Whitelist Beitrag von: Broesel01 am 13 Juli 2010, 22:39:18 Hallo,
erstmal Danke für die flotte Antwort. Werde es nacher mal testen, wenn weniger los ist ;) Wir nutzen den Tracker "NV Source", ohne Drupal. Wenn ihr es bei euch in die Whitelist aufnehmt, dann unter "NV Source 1". Titel: Re: Frage wegen Whitelist Beitrag von: Broesel01 am 14 Juli 2010, 00:38:57 Huhu,
leider wird weiter geblockt, trotz der Änderung der Whitelist :( Ich hoffe du kannst mir helfen Schlumpfi. Derzeitige Whitelist: Zitat passkey=,&info_hash=,&peer_id=,port=,&uploaded=,&downloaded=,&left=,&no_peer_id=,&compact=,&key,passkey,info_hash,peer_id,port,uploaded,downloaded,left,no_peer_id,compact,key,`,%60,´,%B4 Geblockter 1: Zitat Erster Angriff: am 14.07.2010 - 00:07:03 Angriffe in Stunde: 00 1 QUERY_STRING passkey%3D9ce07b7d92cf49fa%26info_hash%3D%EAs%3E%1C%22v%26%E8%D7%AF%AA%3D%06%8Bux%29%F2%A2%EF%26peer_id%3Dt03i-----ate5tsfi84q%26port%3D45679%26uploaded%3D747328552%26downloaded%3D0%26left%3D0%26no_peer_id%3D1%26compact%3D1%26key%3D4zyg0t CONTENT_TYPE HTTP_COOKIE SERVER_PROTOCOL HTTP/1.1 REQUEST_METHOD GET REQUEST_URI /announce.php?passkey=9ce07b7d92cf49fa&info_hash=%EAs%3E%1C%22v%26%E8%D7%AF%AA%3D%06%8BuX%29%F2%A2%EF&peer_id=T03I-----ATE5tsFI84Q&port=45679&uploaded=747328552&downloaded=0&left=0&no_peer_id=1&compact=1&key=4zyG0t FULL_REQUEST_URI http://xxx.com/announce.php?passkey=9ce07b7d92cf49fa&info_hash=%EAs%3E%1C%22v%26%E8%D7%AF%AA%3D%06%8BuX%29%F2%A2%EF&peer_id=T03I-----ATE5tsFI84Q&port=45679&uploaded=747328552&downloaded=0&left=0&no_peer_id=1&compact=1&key=4zyG0t Geblockter 2: Zitat Erster Angriff: am 14.07.2010 - 00:07:01 Angriffe in Stunde: 00 1 QUERY_STRING passkey%3D659daa40eeac5d6a%26info_hash%3D%2A%3A%06%CF.%10%EEhv%5D%27%F0%224e%80%F4%60u%C4%26peer_id%3Dt03i-----eseepbmitx.%26port%3D49279%26uploaded%3D2184920681%26downloaded%3D747365909%26left%3D0%26no_peer_id%3D1%26compact%3D1%26key%3Dl0s2v9 CONTENT_TYPE HTTP_COOKIE SERVER_PROTOCOL HTTP/1.1 REQUEST_METHOD GET REQUEST_URI /announce.php?passkey=659daa40eeac5d6a&info_hash=%2A%3A%06%CF.%10%EEHv%5D%27%F0%224E%80%F4%60u%C4&peer_id=T03I-----ESEEpBmItX.&port=49279&uploaded=2184920681&downloaded=747365909&left=0&no_peer_id=1&compact=1&key=L0s2v9 FULL_REQUEST_URI http://xxx.com/announce.php?passkey=659daa40eeac5d6a&info_hash=%2A%3A%06%CF.%10%EEHv%5D%27%F0%224E%80%F4%60u%C4&peer_id=T03I-----ESEEpBmItX.&port=49279&uploaded=2184920681&downloaded=747365909&left=0&no_peer_id=1&compact=1&key=L0s2v9 Titel: Re: Frage wegen Whitelist Beitrag von: schlumpfi am 14 Juli 2010, 12:07:51 hallo
2sachen 1) schicke mir mal die letzten 3 - 4 logeinträge per txtdatei - bitte die originale, nicht hier kopieren. 2) schicke mir mal die announce.php bzw info, wo das modul liegt, finde es gerade nicht... 3) auch mal probiert: "`",'`',"´",'´' ? das problem liegt an der codierung vom hash. dieser verwendet sonderzeichen, die als normaler angriff gewertet wird, was durchaus auch so gewollt ist... mfg Titel: Re: Frage wegen Whitelist Beitrag von: Broesel01 am 14 Juli 2010, 13:25:20 Huhu Schlumpfi,
hab dir erstmal ne Pm mit dem Link zur announce.php geschickt. Gleich kommt noch eine mit den vollständigen Logeinträgen. LG - Andy - Titel: Re: Frage wegen Whitelist Beitrag von: schlumpfi am 14 Juli 2010, 18:05:46 jo,
update auf ctxtra version 1.5.08 gemacht? Titel: Re: Frage wegen Whitelist Beitrag von: Broesel01 am 14 Juli 2010, 18:10:25 Huhu,
aber sicher doch ;) Hab die Version erst vor ein paar Tagen runter geladen. Titel: Re: Frage wegen Whitelist Beitrag von: schlumpfi am 14 Juli 2010, 18:16:18 kannst du mir die komplette version einmal packen mit zip/rar und auf eurem server packen?
der er info hash immer sonderzeichen hat, sehe ich im moment probleme... Titel: Re: Frage wegen Whitelist Beitrag von: Broesel01 am 14 Juli 2010, 18:23:31 Huhu Schlumpfi,
hast ne Pm mit der blanko Sourece vom Tracker. Hab nur leider keine blanko Datenbank dafür :( Titel: Re: Frage wegen Whitelist Beitrag von: schlumpfi am 14 Juli 2010, 18:46:28 ok,
ich muss mir das genauer ansehen. auf die schnelle gibts keine lösung. wenn entsprechende signatur aus dem ctxtra entfernt wird, greift ein bestimmter schutz nicht mehr und ctxtra währe quasi nur die halbe sicherheit. wenn du dennoch die änderungen durchführen willst (eigenes risiko): signatur wäre hierbei der SZ bereich: '`', '"' (zu finden unter ctxtra/include/wormprotector.txt) am besten eine sicherungskopie erstellen! diese beiden signaturen entfernen - achte auch auf die komma trennung! ist ein wenig tricky, aber im mom sehe ich keine schnelle lösung... melde mich dann am wochenende, wenn ich ergebnisse hab... mfg edit// zur info: da der hash sonderzeichen verwendet, kann danach möglicherweise ein andere signatur blocken Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: Broesel01 am 14 Juli 2010, 19:06:01 HUhu,
ich warte auf deine Rückmeldung, denn der Schutz soll ja gegeben sein ;) Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: Broesel01 am 18 Juli 2010, 01:45:48 Huhu Schlumpfi,
hast mich vergessen? Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: schlumpfi am 18 Juli 2010, 19:00:25 hallo,
nein, habe dich nicht vergessen. hab auch schon angefangen zu testen. ich weis nicht genau warum der hash so von den entwicklern erstellt wird, genau da aber ist das problem. ich muss noch mal das script durchsuchen, welche zeichencodierungen der hash generiert und danach kann man dann die whitelist generieren... muss auch zugeben, das ich nicht gedacht hätte, das es so lange dauert... :( leider bin ich gestern erkrankt und hab mir derbe kopfschmerzen und eine starke erkältung eingefangen. bitte um verständnis wenn es nicht so schnell geht... mfg Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: Broesel01 am 18 Juli 2010, 20:55:00 Gute Besserung!
Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: schlumpfi am 24 Juli 2010, 14:38:19 so, bin einigermassen wieder gesund...
danke der genesungswünsche nach langem hin und her habe ich momentan leider keine optimale lösung gefunden. eine variante, die auch sicher ist, ist hierbei den query string zu entwerten. ctxtra fängt diesen ab, sucht nach der variable und entfernt diese... aus z.B 1234&info_hash=1234&peer_id=1234 wird 1234&peer_id=1234 der befehl wird ausgeführt, nur blockt der ctxtra diesen nicht mehr, da entwertet in ctxtra. dazu folgendes bearbeiten: ctxtra-verzeichnis datei ctracker.php öffnen und nach Zeile 95 einfügen: $worm_cracktrack = preg_replace("/&info_hash=(.*)&peer_id=/", "&peer_id=", $worm_cracktrack); sollte nun dann so aussehen: } else { #$worm_cracktrack = "sring"; $worm_cracktrack = $_SERVER['QUERY_STRING']; $worm_cracktrack = preg_replace("/&info_hash=(.*)&peer_id=/", "&peer_id=", $worm_cracktrack); } einbau auf eigenes risiko, da ich auch dabei die sicherheit nicht mehr garantieren kann... bitte mal testen wenn nicht viel los ist und eine rückmeldung währe nicht schlecht. danke! Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: Broesel01 am 24 Juli 2010, 21:47:54 Huhu Schlumpfi,
leider hat es NICHT funktioniert :( 13 Blocks in 10 Sekunden. Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: schlumpfi am 24 Juli 2010, 22:11:43 dann wird es wohl ein grösseres projekt werden...
sind es die gleichen blockmeldungen bzw signaturen? bitte mal die logfiles... Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: Broesel01 am 24 Juli 2010, 22:29:15 Huhu,
Logfile ist raus. Habe noch das Problem, dass wenn ich meine Whitelist speichern will, einiges plötzlich mit Original: Zitat passkey=,&info_hash=,&peer_id=,port=,&uploaded=,&downloaded=,&left=,&no_peer_id=,&compact=,&key,passkey,info_hash,peer_id,port,uploaded,downloaded,left,no_peer_id,compact,key,`,%60,´,%B4,"`",'`',"´",'´'," nach speichern: Zitat passkey=,&info_hash=,&peer_id=,port=,&uploaded=,&downloaded=,&left=,&no_peer_id=,&compact=,&key,passkey,info_hash,peer_id,port,uploaded,downloaded,left,no_peer_id,compact,key,`,%60,´,%B4,\"`\",\'`\',\"´\",\'´\',\" Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: schlumpfi am 25 Juli 2010, 12:36:20 hallo,
dieses bitte mal als 2te alternative testen! 1)baue die originale ctracker.php ein 2) benutze whitelist wie folgt... lösche deren inhalt und füge ein: *',`,´,",{,}* OHNE DIE BEGRENZER hier * am besten copy + paste 3) im ctxtra acp whitelist speichern wie gesagt, das generelle freischalten dieser sonderzeichen kann neue lücken in deinem script öffnen! Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: Broesel01 am 25 Juli 2010, 13:07:37 Huhu,
funktionierte leider auch nicht :( Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: schlumpfi am 25 Juli 2010, 16:42:19 haste die alternative, die ich dir per pn geschickt habe auch gemacht?
Titel: Re: Frage wegen Whitelist nvtracker Beitrag von: Broesel01 am 25 Juli 2010, 18:40:47 Kam zeitlich erst zur 1. Pn bzgl. Änderung der Whitelist.
Die 2. Pn kann ich frühestens leider erst morgen testen. |