Frage wegen Whitelist nvtracker

[Broesel01]

Hallo zusammen,

ich hoffe es kann mir hier jemand helfen.

Nachstehende Eintrag habe ich als Angriff erhalten. Dies ist jedoch kein Angriff.

Derzeit habe ich folgenden Eintrag in der Whitelist:

passkey=,&info_hash=,&peer_id=,port=,&uploaded=,&downloaded=,&left=,&no_peer_id=,&compact=,&key,passkey,info_hash,peer_id,port,uploaded,downloaded,left,no_peer_id,compact,key,announce.php?

Trotz allem wird geblockt

Wie kann ich es bewerkstelligen, dass nicht geblockt wird?

Schon jetzt Danke für eure Hilfe.

Erster Angriff:     am 13.07.2010 - 02:07:39
Angriffe in Stunde: 02    1
QUERY_STRING    passkey%3D9ce07b7d92cf49fa%26info_hash%3D%20n%606m%FD%C6%F8%A6%E2%02%D1%D9%CC%BDt%95k%DF%09%26peer_id%3Dt03i-----ndiotnsygxc%26port%3D52527%26uploaded%3D1497682023%26downloaded%3D0%26left%3D0%26no_peer_id%3D1%26compact%3D1%26key%3Dqq2e8l
REMOTE_ADDR    xxx.xxx.xxx.165
WHOIS_REMOTE_ADDR    http://whois.domaintools.com/xxx.xxx.xxx.165
HTTP_USER_AGENT    xyz/ab.cd.ef
HTTP_REFERER    xxx.xxx.xxx.165
CONTENT_TYPE    
HTTP_COOKIE    
SERVER_PROTOCOL    HTTP/1.1
REQUEST_METHOD    GET
REQUEST_URI    /announce.php?passkey=9ce07b7d92cf49fa&info_hash=%20n%606M%FD%C6%F8%A6%E2%02%D1%D9%CC%BDt%95k%DF%09&peer_id=T03I-----nDiOTnSyGxC&port=52527&uploaded=1497682023&downloaded=0&left=0&no_peer_id=1&compact=1&key=Qq2E8L
FULL_REQUEST_URI    http://xxx.com/announce.php?passkey=9ce07b7d92cf49fa&info_hash=%20n%606M%FD%C6%F8%A6%E2%02%D1%D9%CC%BDt%95k%DF%09&peer_id=T03I-----nDiOTnSyGxC&port=52527&uploaded=1497682023&downloaded=0&left=0&no_peer_id=1&compact=1&key=Qq2E8L

[schlumpfi]

hallo

hierbei ist das probelm der info_hash=
ich gehe davon aus, das du drupal nutzt in verbindung mit einem bt tracker ?!

der infohash erzeugt eine zeichencodierung, die dieses sonderzeichen enthält:
`  oder %60
´ oder %B4

als whitelist nachfolgendes ergänzen
`,%60,´,%B4

bei problemen nochmal melden.

weiterdessen mal bitte deine laufende drupal version und das modul mit versionsangabe nennen. können wir dann nachtragen bei uns...
mfg

[Broesel01]

Hallo,

erstmal Danke für die flotte Antwort. Werde es nacher mal testen, wenn weniger los ist

Wir nutzen den Tracker "NV Source", ohne Drupal.

Wenn ihr es bei euch in die Whitelist aufnehmt, dann unter "NV Source 1".

[Broesel01]

Huhu,

leider wird weiter geblockt, trotz der Änderung der Whitelist

Ich hoffe du kannst mir helfen Schlumpfi.

Derzeitige Whitelist:

passkey=,&info_hash=,&peer_id=,port=,&uploaded=,&downloaded=,&left=,&no_peer_id=,&compact=,&key,passkey,info_hash,peer_id,port,uploaded,downloaded,left,no_peer_id,compact,key,`,%60,´,%B4

Geblockter 1:

Erster Angriff:     am 14.07.2010 - 00:07:03
Angriffe in Stunde: 00    1
QUERY_STRING    passkey%3D9ce07b7d92cf49fa%26info_hash%3D%EAs%3E%1C%22v%26%E8%D7%AF%AA%3D%06%8Bux%29%F2%A2%EF%26peer_id%3Dt03i-----ate5tsfi84q%26port%3D45679%26uploaded%3D747328552%26downloaded%3D0%26left%3D0%26no_peer_id%3D1%26compact%3D1%26key%3D4zyg0t
CONTENT_TYPE    
HTTP_COOKIE    
SERVER_PROTOCOL    HTTP/1.1
REQUEST_METHOD    GET
REQUEST_URI    /announce.php?passkey=9ce07b7d92cf49fa&info_hash=%EAs%3E%1C%22v%26%E8%D7%AF%AA%3D%06%8BuX%29%F2%A2%EF&peer_id=T03I-----ATE5tsFI84Q&port=45679&uploaded=747328552&downloaded=0&left=0&no_peer_id=1&compact=1&key=4zyG0t
FULL_REQUEST_URI    http://xxx.com/announce.php?passkey=9ce07b7d92cf49fa&info_hash=%EAs%3E%1C%22v%26%E8%D7%AF%AA%3D%06%8BuX%29%F2%A2%EF&peer_id=T03I-----ATE5tsFI84Q&port=45679&uploaded=747328552&downloaded=0&left=0&no_peer_id=1&compact=1&key=4zyG0t

Geblockter 2:

Erster Angriff:     am 14.07.2010 - 00:07:01
Angriffe in Stunde: 00    1
QUERY_STRING    passkey%3D659daa40eeac5d6a%26info_hash%3D%2A%3A%06%CF.%10%EEhv%5D%27%F0%224e%80%F4%60u%C4%26peer_id%3Dt03i-----eseepbmitx.%26port%3D49279%26uploaded%3D2184920681%26downloaded%3D747365909%26left%3D0%26no_peer_id%3D1%26compact%3D1%26key%3Dl0s2v9
CONTENT_TYPE    
HTTP_COOKIE    
SERVER_PROTOCOL    HTTP/1.1
REQUEST_METHOD    GET
REQUEST_URI    /announce.php?passkey=659daa40eeac5d6a&info_hash=%2A%3A%06%CF.%10%EEHv%5D%27%F0%224E%80%F4%60u%C4&peer_id=T03I-----ESEEpBmItX.&port=49279&uploaded=2184920681&downloaded=747365909&left=0&no_peer_id=1&compact=1&key=L0s2v9
FULL_REQUEST_URI    http://xxx.com/announce.php?passkey=659daa40eeac5d6a&info_hash=%2A%3A%06%CF.%10%EEHv%5D%27%F0%224E%80%F4%60u%C4&peer_id=T03I-----ESEEpBmItX.&port=49279&uploaded=2184920681&downloaded=747365909&left=0&no_peer_id=1&compact=1&key=L0s2v9

[schlumpfi]

hallo

2sachen

1) schicke mir mal die letzten 3 - 4 logeinträge per txtdatei - bitte die originale, nicht hier kopieren.
2) schicke mir mal die announce.php bzw info, wo das modul liegt, finde es gerade nicht...

3) auch mal probiert:  "`",'`',"´",'´'   ?

das problem liegt an der codierung vom hash. dieser verwendet sonderzeichen, die als normaler angriff gewertet wird, was durchaus auch so gewollt ist...

mfg

[Broesel01]

Huhu Schlumpfi,

hab dir erstmal ne Pm mit dem Link zur announce.php geschickt.

Gleich kommt noch eine mit den vollständigen Logeinträgen.

LG
- Andy -

[schlumpfi]

jo,

update auf ctxtra version 1.5.08 gemacht?

[Broesel01]

Huhu,

aber sicher doch

Hab die Version erst vor ein paar Tagen runter geladen.

[schlumpfi]

kannst du mir die komplette version einmal packen mit zip/rar und auf eurem server packen?

der er info hash immer sonderzeichen hat, sehe ich im moment probleme...

[Broesel01]

Huhu Schlumpfi,

hast ne Pm mit der blanko Sourece vom Tracker.

Hab nur leider keine blanko Datenbank dafür

[schlumpfi]

ok,
ich muss mir das genauer ansehen. auf die schnelle gibts keine lösung.

wenn entsprechende signatur aus dem ctxtra entfernt wird, greift ein bestimmter schutz nicht mehr und ctxtra währe quasi nur die halbe sicherheit.

wenn du dennoch die änderungen durchführen willst (eigenes risiko):
signatur wäre hierbei der SZ bereich:  '`', '"'   (zu finden unter ctxtra/include/wormprotector.txt)
am besten eine sicherungskopie erstellen!
diese beiden signaturen entfernen - achte auch auf die komma trennung!

ist ein wenig tricky, aber im mom sehe ich keine schnelle lösung...

melde mich dann am wochenende, wenn ich ergebnisse hab...

mfg



edit// zur info:  da der hash sonderzeichen verwendet, kann danach möglicherweise ein andere signatur blocken

[Broesel01]

HUhu,

ich warte auf deine Rückmeldung, denn der Schutz soll ja gegeben sein

[Broesel01]

Huhu Schlumpfi,

hast mich vergessen?

[schlumpfi]

hallo,

nein, habe dich nicht vergessen.

hab auch schon angefangen zu testen. ich weis nicht genau warum der hash so von den entwicklern erstellt wird, genau da aber ist das problem.
ich muss noch mal das script durchsuchen, welche zeichencodierungen der hash generiert und danach kann man dann die whitelist generieren...

muss auch zugeben, das ich nicht gedacht hätte, das es so lange dauert...

leider bin ich gestern erkrankt und hab mir derbe kopfschmerzen und eine starke erkältung eingefangen.
bitte um verständnis wenn es nicht so schnell geht...

mfg

[Broesel01]

Gute Besserung!