CrackerTracker Pro 2nd Edition (4.x)

[AmigaLink]

Es gibt mittlerweile Portierungen auf WBB, VBulletin und UBB.

[cback]

CrackerTracker v4.1.3 Released

So nun wurde die Version 4.1.3 veröffentlicht. Hier die Changes:

• [FIX] Referrer doesn't get written correctly in logfile
• [ADD] Unset $db->password of phpBB after using it

Downloadlinks des Paketes siehe erster Post dieses Threads! Zum Updaten einer Version 4.1.2 auf Version 4.1.3 einfach folgende Schritte machen:

• UPLOAD
  • ctracker/ct_security.php
  • ctracker/ct_ipblocker.php
  • update_to_latest.php
• EXECUTE
  • Execute update_to_latest.php
  • Delete this file from your Webspace

Viel Spaß!

[tom10]

Danke schön für das Update. Hab es gleich eingebaut!

[oxpus]

Auch von mir ein wie immer herzliches Danke.
Geht ja bei Deinen Updates immer extrem schnell.

[modbo]

Unser Admin optimiert z.Zt. einige Skripte des Forum, da wir aufgrund unterbemitteltem RAM zeitweie Performance-Probleme haben. Die Datenbank verweigert dann ihren Dienst (Deadlocks).

In diesem Zusammenhang hat er mir folgende Zeilen übermittelt, welche ich allerdings nicht beurteilen kann:

... der Cracktracker fiel mir gerade auf, adressiert alle seine Updates und Selected auf den Benutzernamen und nicht auf die benutzer_id

dadurch wird nie der Tabellenschlüssel verwendet und immer 4000 Zeilen durchwühlt und das noch schlimmere : Es wird die Gesamte User Tabelle gesperrt bei einem Update

Die 4000 Zeilen beziffern pauschal die Anzahl der reg. Benutzer. Mit Update meint er nicht das Update des Mods, sondern das Schreiben neuer Datenbankeinträge.

Ich kann es wie gesagt nicht beurteilen, wollte es zumindest aber mal in die Runde werfen. Vielleicht gibt es dort noch Optimierungspotential?

[oxpus]

Ich weiß zwar nicht, was Euer Admin für ein Problem hat, aber bei einem Update MUSS die komplette Tabelle gesperrt werden, sonst könnte ein zeitgleich anderer Update die selben Daten ändern und das kann fatale Datenverluste nach sich ziehen!
Auch wenn die Tabelle nicht komplett gesperrt wird (ist ja möglich), so werden die betroffenen Datensätze dennoch so lange gesperrt, bis die aufgelaufenen UPDATE's geschrieben sind. Und das in der Reihenfolge, wie sie erstellt wurden.
Da aber in der Regel ein UPDATE in Bruchteilen von Sekunden abläuft, sollte es keine Probleme geben.
Ich kenne auch keine Datenbank, die beim "physischen" Schreiben von Daten in eine Tabelle diese nicht komplett sperrt, um eben Datenverluste durch gleichzeitiges Schreiben zu verhindern.

Ansonsten soll er mal genau erklären, was er meint und eine Lösung posten, wenn ihm etwas nicht passt. Nur auf "lose" Aussagen gebe ich nicht viel.

Und nochwas zum Ctracker:
Klar muss er den Usernamen prüfen, sonst wäre ja die Login-Prüfung nicht funktionsfähig. Der User meldet sich schliesslich per Namen und nicht per ID an
Daher sucht der Cracker Tracker nach dem Namen, was übrigens die login.php genau so macht! Hier der betreffende Auszug aus der Datei:

Code: Alles auswählen

		$sql = "SELECT user_id, username, user_password, user_active, user_level, user_login_tries, user_last_login_try
			FROM " . USERS_TABLE . "
			WHERE username = '" . str_replace("\\'", "''", $username) . "'";

Dann wird damit die ID versucht zu ermitteln. Erst anschliessend kann der User auch eindeutig zugeordnet werden.

Also eine Bitte an Euren Admin:
Er möchte nicht nur pauschal meckern, sondern gezielt (mit Code!) sagen, was nach seiner Meinung falsch ist und eine nach seinem Wissen korrekte Lösung nennen.
Und vorher sollte er sich die Scripte und deren Funktionsweisen mal genauer anschauen, bevor er solche Äusserungen in die Welt entlässt.

Sorry für die harten Worte, aber von "Admins" erwarte ich schon mehr, als sowas!

[modbo]

Ich gebs weiter. Hätte ich es genauer spezifizieren können, hätte ich es getan.
Sollte weder Mecker noch Besserwisserei sein!

[cback]

Is schon richtig so wies is. Von jemandem der Orion gemacht hat mit dem schnellsten DB Parser der Forenwelt kannste ruhig erwarten das ich kein Querie unnötig ausführe. Die Abfrage ist in nanosekundenbruchteilen erledigt, auch bei XXXXXXL Boards die CTracker haben wie z.B phpBB2.de oder the-corrado.net oder CBACK COmmunity etc.

[bce]

@cback: danke für diese prima schutzfunktion!

frage: ist es möglich der zip-datei in den namen die versionsnummer gleich einzufügen... bisher mache ich dies nach dem download.. bei oxpus ist es auch so, das die nummer im dateinamen enthalten ist

[cback]

Ne, sorry, das is nämlich für mich ne erleichterung das ich nicht immer alle Links ändern muss bei einer neuen Version. Da wird einfach die Datei ersetzt.

Dateien mit VNum gibts aber bei Sourcefoge.

[oxpus]

Würde ich genau so machen, wenn ich direkt verlinke.
Aber durch den Download MOD muss ich nur dort den Link anpassen und "nach aussen" ist dann weiterhin alles gleich...

[cback]

CrackerTracker v4.1.4 Released

So nun wurde die Version 4.1.4 veröffentlicht. Hier die Changes:

• Altering Worm Definition Filter
• Adding Constant
• Check for ct_security.php
• Used $HTTP_SERVER_VARS instead of $_SERVER to fit phpBB.com Coding Guidelines
• Altered descriptions
• Using user_id instead of username to increase performance
• Added $phpEx where the extension was hardcoded
• Correct Build of Test
• URL
• Added note of MOD Compatibility only with PHP > 4.3.0
• Added better handling of Logfiles to prevent from "tricky entries"
• Added DB Query Security for non MySQL DBMS
• Some fixes in install.txt to fit phpBB.com MOD Template
• Changes of the SQL Statements in install.php to make it possible to convert it to other DBMS

Downloadlinks des Paketes siehe erster Post dieses Threads!

[cback]

CrackerTracker Professional v4.1.5 Released
Downloadlink im ersten Post dieses Topics!


CrackerTracker Pro v4.1.5 ist nun zum Download verfügbar. Eine Updateanleitung von 4.1.4 auf 4.1.5 liegt wie immer im Hauptpaket bei.


Changelog

• Some code optimations
• Extended Worm Protection Unit

Viel Spaß!

[tom10]

So schnell wie Du die updates bringst kommt man ja gar nicht nach...

Recht vielen Dank dafür !!!!

[oxpus]

Ich schon. MOD ist soeben in all meinen Foren installiert.

[cback]

[quote="tom10";p="60423"]So schnell wie Du die updates bringst kommt man ja gar nicht nach...

Recht vielen Dank dafür !!!! [/quote]

Bitte.

Bedank Dich bei phpBB.com die immer wieder krampfhaft neue Gründe suchen warum der Mod nicht aufgenommen wird. Dabe könnte der Mod auch beim Hersteller vertrieben die Wurmwellen gut stoppen und eindämmen.

[modbo]

[quote="tom10";p="60423"]So schnell wie Du die updates bringst kommt man ja gar nicht nach...

Recht vielen Dank dafür !!!! [/quote]
Da kann man sich nur anschließen
... grad wenn man liest, dass es offensichtlich andere gibt, welche sich durch das widerholte Erscheinen von Updates bereits genervt fühlen, siehe Thread auf phpbb.de

[oxpus]

@Cback
Nun, Du musstest aus 'user_id' einen Eintrag ohne die Quotes machen.
Das reicht schon, um wieder durchzufallen.
Ich hätte das garnicht geändert

[Christian_N]

Also auch erstaml wie immer eine tolle arbeit und mich nervt es sicher nicht die Updates den mir ist das Board lieb und somit will ich es so sicher wie ich kann halten.

Allerdings frag ich mich auch warum aus $userdata['user_id'] die einfache hochkommas ' gelöscht wurde? ich kenn/kannte solche abfrage bisher nur mit die hochkommas.

[cback]

[quote="Christian_N";p="60445"]Allerdings frag ich mich auch warum aus $userdata['user_id'] die einfache hochkommas ' gelöscht wurde? ich kenn/kannte solche abfrage bisher nur mit die hochkommas.[/quote]


EX FIX UND INFO DURCH 4.1.6 IRRELEVANT GEWORDEN

[oxpus]

Das wäre schlicht falsch, wie der "Original" PHP-Anleitung zu entnehmen ist:

Warum ist $foo[bar] falsch?
Sie sollten immer Anführungszeichen für einen String-Literal-Index eines Arrays benutzen. Zum Beispiel sollten Sie $foo['bar'] und nicht $foo[bar] benutzen. Aber warum ist $foo[bar] falsch? Vieleicht kennen Sie folgende Syntax aus alten Skripts:


<?php
$foo[bar] = 'Feind';
echo $foo[bar];
// usw
?>


Es ist falsch, funktioniert aber. Warum ist es dann falsch? Der Grund ist, dass dieser Code statt eines Strings ('bar'- beachten Sie die Anführungszeichen) eine undefinierte Konstante (bar) enthält und PHP in Zukunft Konstanten definieren könnte, die, unglücklicherweise für Ihren Code, den gleichen Namen verwenden. Es funktioniert, weil PHP einen bloßen String (ein String ohne Anführungszeichen, der keinem bekannten Symbol entpricht) automatisch in einen String umwandelt, der den bloßen String enthält. Wenn beispielsweise keine Konstante namens bar definiert ist, ersetzt es PHP durch den String 'bar' und verwendet diesen.

Daher muss es $userdata['user_id'] heissen!!!!!
Es kommt schliesslich darauf an, was 'user_id', bzw. user_id darstellen. Das eine ein String als Bezeichner des Array-Schlüssels, das andere eine Konstante, die wie auch immer definiert sein kann und damit dem Array $userdata schlicht einen falschen Wert entlocken könnte. Klar, ist der Wert vom Typ INTEGER, aber eben nicht das Array!

Die sollten also endlich anfangen, PHP RICHTIG zu lernen, sonst komme ich denen langsam mal nach Hause ¦9

Nachzulesen ist das Ganze hier:
deutsch http://de.php.net/manual/de/language.types.array.php
english http://de.php.net/manual/en/language.types.array.php
Nur der Beweissicherung halt.

Ich lasse es zwar dann auch jetzt, wie es ist, da user_id bei mir nicht als Konstante definiert wurde.
Aber sobald das der Fall sein sollte, ändere ich das wieder um!

CBack, Du solltest wirklich mal mit Acyd reden...

[Christian_N]

Also heißt es das ich an der search.php wie es in der anleitung steht nichts ändern brauche, nur die common.php und die die dateien die bei dem update von 4.1.4 auf 4.1.5 beim upload steht hochladen?

Bin ich dann in dem fall sogar sicherer, wenn ich die search.php so lass, also spricht um fehler vorzubeugen, da ich jetzt net genau weiss ob user_id als Konstante definiert wurde schon bei mir, oder sehe ich da was falsch jetzt?

[oxpus]

Ja, eigentlich wäre die Änderung in der common.php die einzigst nötige.

[Christian_N]

oki danke dann mach ich das auch so

[cback]

CrackerTracker Professional v4.1.6 Released
Downloadlink im ersten Post dieses Topics!


CrackerTracker Pro v4.1.6 ist nun zum Download verfügbar. Eine Updateanleitung von 4.1.5 auf 4.1.6 liegt wie immer im Hauptpaket bei.


Changelog

• Getestet für phpBB 2.0.21 Kompatibilität
• Codeänderung search.php

Viel Spaß!



PS: Die meinten mit den Hochkomma was anderes, wir können also wieder beruhigt sein. (*phew*)