Schön ausgedrückt.Das heisst dann "Webmaster-ist-Schuld-Loch"!
CrackerTracker Pro 2nd Edition (4.x)
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
[quote="oxpus - Mo 05.Dez, 2005 23:16";p="49796"]Wenn Du genau chr() umschreiben lässt, ist genau das ein Sicherheitsloch. Das heisst dann "Webmaster-ist-Schuld-Loch"!
Im Ernst:
Die Short-URLs sehen nur schick aus, bremsen aber nicht unerheblich das Forum.
Die Suchmaschinen indizieren mittlerweile jeden Link mit Wonne, so daß es keinen Unterschied macht, ob kurze oder lange URLs verwendet werden.
Ich würde die eher komplett wieder entfernen.[/quote]
Danke für die Info, dann werde ich das so schnell wie möglich rückgängig machen. Immerhin verursacht das nur Traffic und mehr User kommen dadruch auch nicht.
Im Ernst:
Die Short-URLs sehen nur schick aus, bremsen aber nicht unerheblich das Forum.
Die Suchmaschinen indizieren mittlerweile jeden Link mit Wonne, so daß es keinen Unterschied macht, ob kurze oder lange URLs verwendet werden.
Ich würde die eher komplett wieder entfernen.[/quote]
Danke für die Info, dann werde ich das so schnell wie möglich rückgängig machen. Immerhin verursacht das nur Traffic und mehr User kommen dadruch auch nicht.
eine zusatzfrage zu den short urls. bin längst am überlegen, diese zu exekutieren, aber damit sind ja dann alle indizierten seiten in den suchmaschinen kaputt und weg und nicht mehr erreichbar.
wie lang dauert es, bis das wieder halbwegs kompensiert ist?
wie lang dauert es, bis das wieder halbwegs kompensiert ist?
[center]***********************************************************
Alpinum.at - Forum f?r Bergfreunde
***********************************************************[/center]
Alpinum.at - Forum f?r Bergfreunde
***********************************************************[/center]
[quote="Twins - Di 06.Dez, 2005 18:40";p="49899"]Ich habe die "Short URLs" entfernt und promt reagiert der CrackerTracker wieder auf Angriffe. Dann wäre das Sicherheitsloch schonmal zu.
Vielen dank!
[/quote]
na wenn ich das recht verstehe ist das loch zwar nicht offen aber jetzt aktiv (sofern man das überhaupt so sagen kann, mir währe kein wurm bekannt der shorturls benutzt - SEO webworm? ^9 )
wenn ich deine ausführung recht verstanden hab wurde bei verwendung von viewtopic.html-chr() keine reaktion ausgelöst? (müsste das nicht eh ftopic_1234.html heisen?)
die rewrite regeln sind idR so ausgelegt das nur sachen umgeschrieben(verarbeitet) werden die an bestimmten positionen mit definierten zeichen normal VOR .html kommen, was danach ist sollte eigentlich in der tonne landen und garnicht zur ausführung kommen
wenn du natürlich eine rewrite rule für highlight hast die evtl sogar nach .html kommt dann währe es verständlich, ist mir aber noch nicht untergekommen
als einziges der Shorturls mod von Austin hat eine recht offene auslegung der rewrite rules wo man eigentlich mit dem wildesten durcheinander anrücken kann und der macht einen verwertbaren link draus, und selbst dann müsste der ctracker anspringen
daher denke ich würde dein angriffsversuch einfach nicht umgesetzt da dieser nie bis zum eigentlichen forum vordringen konnte
zum thema seo ist natürlich klar das die Shorturls nicht immer nötig sind, nur leider handelt man sich durch die SID und etwaige parameter in der URL schnell doppelten content ein damit sinkt die bewertung der einzelnen seite was wiederum nicht gut ist
kann man zwar durch robots kompensieren, aber auch das geht dann mit den Shorturls bei bedarf leichter
Vielen dank!
[/quote]
na wenn ich das recht verstehe ist das loch zwar nicht offen aber jetzt aktiv (sofern man das überhaupt so sagen kann, mir währe kein wurm bekannt der shorturls benutzt - SEO webworm? ^9 )
wenn ich deine ausführung recht verstanden hab wurde bei verwendung von viewtopic.html-chr() keine reaktion ausgelöst? (müsste das nicht eh ftopic_1234.html heisen?)
die rewrite regeln sind idR so ausgelegt das nur sachen umgeschrieben(verarbeitet) werden die an bestimmten positionen mit definierten zeichen normal VOR .html kommen, was danach ist sollte eigentlich in der tonne landen und garnicht zur ausführung kommen
wenn du natürlich eine rewrite rule für highlight hast die evtl sogar nach .html kommt dann währe es verständlich, ist mir aber noch nicht untergekommen
als einziges der Shorturls mod von Austin hat eine recht offene auslegung der rewrite rules wo man eigentlich mit dem wildesten durcheinander anrücken kann und der macht einen verwertbaren link draus, und selbst dann müsste der ctracker anspringen
daher denke ich würde dein angriffsversuch einfach nicht umgesetzt da dieser nie bis zum eigentlichen forum vordringen konnte
zum thema seo ist natürlich klar das die Shorturls nicht immer nötig sind, nur leider handelt man sich durch die SID und etwaige parameter in der URL schnell doppelten content ein damit sinkt die bewertung der einzelnen seite was wiederum nicht gut ist
kann man zwar durch robots kompensieren, aber auch das geht dann mit den Shorturls bei bedarf leichter
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
@Twins
Der Safe Mode untersagt z. B. Dateien zu bearbeiten (also mit bestimmten Befehlen). Es werden einige Aktionen unterbunden, die ohne Safe Mode möglich sind.
Aber: Man kann auch mit dem Safe Mode arbeiten und dadurch auch ein sichereres phpBB schaffen.
@Titus
Nicht ganz: Wenn der Webserver die Short URL's zurückliefert, kann der Cracker Tracker hier nicht filtern
Der Safe Mode untersagt z. B. Dateien zu bearbeiten (also mit bestimmten Befehlen). Es werden einige Aktionen unterbunden, die ohne Safe Mode möglich sind.
Aber: Man kann auch mit dem Safe Mode arbeiten und dadurch auch ein sichereres phpBB schaffen.
@Titus
Nicht ganz: Wenn der Webserver die Short URL's zurückliefert, kann der Cracker Tracker hier nicht filtern
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
[quote="oxpus - Mi 07.Dez, 2005 00:06";p="49912"]
@Titus
Nicht ganz: Wenn der Webserver die Short URL's zurückliefert, kann der Cracker Tracker hier nicht filtern [/quote]
das passiert aber nur wenn eh nichts mehr zu filtern gibt
*vorsicht halbwissen*
IMO kommt die Shorturl beim apache an, der ändert den string intern in einen den regeln entsprechenden und leitet diesen dann an php-dienst weiter - hier besteht jedoch kein unterschied mehr im string zu einem den man ohne mod_rewrite selber im browser eingeben müsste
da aber in den regeln meist nur die zahlen als variable übernommen werden eigentlich unmöglich das richtig zu fabrizieren, evtl mit einer sortierung?
probier mal einer (sofern die regel das zulässt)
viewtopic.php?t=1234&postdays=0&postorder=asc&start=0
sähe so aus
ftopic-1234-0-asc-0.html <- beim asc können wir jetzt einhacken (die frage ist ob die () übernommen wird? wohl nicht )
-> ftopic-1234-0-chr()-0.html !!! wird aber imo nicht funzen, was aber egal ist weil sich keiner die mühe macht ernsthaft den schadcode in shorturls zu verpacken
(evtl kann man statt chr() > shotdown > fopen > oder CMD= nehmen wo eben keine besonderen zeichen nötig sind )
BTW und alles was NACH .html kommt interessiert nicht im geringsten da es bei den normalen regeln eh nicht übersetzt wird und schon im apache verschwindet
@Titus
Nicht ganz: Wenn der Webserver die Short URL's zurückliefert, kann der Cracker Tracker hier nicht filtern [/quote]
das passiert aber nur wenn eh nichts mehr zu filtern gibt
*vorsicht halbwissen*
IMO kommt die Shorturl beim apache an, der ändert den string intern in einen den regeln entsprechenden und leitet diesen dann an php-dienst weiter - hier besteht jedoch kein unterschied mehr im string zu einem den man ohne mod_rewrite selber im browser eingeben müsste
da aber in den regeln meist nur die zahlen als variable übernommen werden eigentlich unmöglich das richtig zu fabrizieren, evtl mit einer sortierung?
probier mal einer (sofern die regel das zulässt)
viewtopic.php?t=1234&postdays=0&postorder=asc&start=0
sähe so aus
ftopic-1234-0-asc-0.html <- beim asc können wir jetzt einhacken (die frage ist ob die () übernommen wird? wohl nicht )
-> ftopic-1234-0-chr()-0.html !!! wird aber imo nicht funzen, was aber egal ist weil sich keiner die mühe macht ernsthaft den schadcode in shorturls zu verpacken
(evtl kann man statt chr() > shotdown > fopen > oder CMD= nehmen wo eben keine besonderen zeichen nötig sind )
BTW und alles was NACH .html kommt interessiert nicht im geringsten da es bei den normalen regeln eh nicht übersetzt wird und schon im apache verschwindet
Zuletzt geändert von Titus am Mi 07.Dez, 2005 09:36, insgesamt 1-mal geändert.
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Kommt ganz auf die Einstellungen des Indianers drauf an, daher sage ich mal: Jein! Bei den schier unendlich vielen Einstellungen...
Besser die Short-URLs ein für alle Mal entfernen, da sie ausser Optik keinen Vorteil, eher Geschwindigskeitsnachteile und andere Unstimmigkeiten mit sich bringen.
Lokal konnte ich z. B. mein Board garnicht mehr benutzen, ich bekam laufend Timeout-Fehler vom Indianer gemeldet...
Besser die Short-URLs ein für alle Mal entfernen, da sie ausser Optik keinen Vorteil, eher Geschwindigskeitsnachteile und andere Unstimmigkeiten mit sich bringen.
Lokal konnte ich z. B. mein Board garnicht mehr benutzen, ich bekam laufend Timeout-Fehler vom Indianer gemeldet...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Das Problem hatte ich auf meinem WAMP ebenfalls. Auf meinem LAMP (der leider momentan nicht läuft) allerdings nicht!Lokal konnte ich z. B. mein Board garnicht mehr benutzen, ich bekam laufend Timeout-Fehler vom Indianer gemeldet...
Ich denke mal das liegt daran das Windows-Rechner mit XAMP (meistens) zusätzlich noch jede menge andere sachen zu tun haben.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Und daher habe ich Indianer, Datenhaltung und PHP getrennt installiertIch denke mal das liegt daran das Windows-Rechner mit XAMP (meistens) zusätzlich noch jede menge andere sachen zu tun haben.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
So Version 4.0.1 ist draußen. Der kleine Kompatibilitätsfix vom Footer wurde dort umgesetzt. Download des neuen Releases an gewohnter Stelle oder auf der SourceForge.net Projektseite
- karstenkurt
- Beiträge: 597
- Registriert: Do 31.Mär, 2005 20:20
- Kontaktdaten:
- karstenkurt
- Beiträge: 597
- Registriert: Do 31.Mär, 2005 20:20
- Kontaktdaten:
CBACK CrackerTracker Professional 2nd Edition
Version 4.1.1
NEUES RELEASE! Changes sind rot markiert!
Downloadseite:
Download
SourceForge.net Projektseite
Updater finden im Paket die Anleitung update_402_to_410.txt.
Version 4.1.1
NEUES RELEASE! Changes sind rot markiert!
- Stark verbesserter Wurmschutz
Ein Baukasten von über 170 Definitionen erkennt auch zukünftige Würmer dank heuristischer Nutzung aller gespeicherten definitionen. - Verbesserte Search-Flood Protection
Die Maximalzahl der aufeinanderfolgenden Suchen für registrierte Benutzer sowie die Zeitspanne kann im ACP eingestellt werden. Hoher Schutz und dennoch nicht störend beim suchen. - Verbessertes Registrier-Flood Protection Engine
Komplett über ACP verwaltbar ist auch nun das Register-Flood Protection Engine welches Skriptregistrierungen nicht nur mit einer Zeitsperre blockiert (zusätzlich zur Visual Confirmation von phpBB) sondern scannt auch die IP Adressen der Registranten und bietet so noch besseren Schutz. - Sicherheitstest im ACP
Im ACP kann der Server (wenn es unterstützt wird) und das Board auf mögliche Sicherheitsrisiken getestet werden. - Systemtest über ACP
Das CrackerTracker System kann im ACP getestet werden. - Konfiguration über ACP
Das gesamte System lässt sich über das ACP konfigurieren. - Proxy, IP & Agent Blocker
Ein völlig neues Blockengine blockt gesperrte Robots, UserAgents, IP Adressen und Proxy Server. Das System kann im ACP konfiguriert und erweitert werden. - Spammer Detection
Ein neues Erkennungssystem kann im ACP eingestellt werden: Sobald ein Benutzer innerhalb einer gewissen Zeit ein gewisses Postlimit übersteigt (inclusive Vorwarnung) wird der Benutzer als Spammer identifiziert und sofort gebannt und ausgeloggt. - Logfile Manager
Ein komfortables Log-Auswertungssystem im ACP. - Schneller Counter
Das Countersystem wurde vollständig überarbeitet und ist so noch performanter. Sehr wichtig bei einer DoS Attacke. - Automatisches DB Install Skript & einfacher Einbau
Die Datenbank wird bequem mit dem CBACK Update System installiert. Außerdem lässt sich der MOD trotz seiner vielen Funktionen dank modularem Aufbau sehr leicht einbauen. - Login Schutzsystem
Visuelle Bestätigung beim Login schützt vor BruteForce Attacken. Das Fragliche andere Feature von phpBB 2.0.19 kann in diesem Fall deaktiviert werden. - Mass-Mail Schutz
Schützt vorm Senden von Massenmails über das Boardinterne Mailformular - Mass-PW-Reset Protection
Schützt davor, dass man durch dauerhafte Anforderung der Passwort Rücksetzmails den Mailserver überlastet. - vieles mehr
schaut selbst, was der MOD noch so alles kann
Downloadseite:
Download
SourceForge.net Projektseite
Updater finden im Paket die Anleitung update_402_to_410.txt.
Zuletzt geändert von cback am Mo 16.Jan, 2006 20:58, insgesamt 1-mal geändert.
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Sauber! Du bist eben unschlagbar großartig!
Dann kann ich morgen in aller Ruhe mal wieder updaten und mich danach in aller Ruhe zurücklehnen
Dann kann ich morgen in aller Ruhe mal wieder updaten und mich danach in aller Ruhe zurücklehnen
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Danke für das Lob.
Dauerte etwas länger dieses mal wegen viel anderer Arbeit und dem Fall mit den externen Loginboxen. Aber ich hab das nun so gelöst: Wenn die Visual Confirm aktiviert wird, dann leiten Externe Loginboxen einfach auf die login.php weiter, so hat man nicht das Problem das der große Visuelle Code das Layout sprengt und man kriegt keine Fehlermeldung wenn man von einer Externen Box kommt.
Ist das Feature deaktiviert, dann laufen die externen Loginboxen wie gewohnt.
Wie das mit dem Visual Code aussieht kann man jetzt schon bei mir im Board betrachen.
Dauerte etwas länger dieses mal wegen viel anderer Arbeit und dem Fall mit den externen Loginboxen. Aber ich hab das nun so gelöst: Wenn die Visual Confirm aktiviert wird, dann leiten Externe Loginboxen einfach auf die login.php weiter, so hat man nicht das Problem das der große Visuelle Code das Layout sprengt und man kriegt keine Fehlermeldung wenn man von einer Externen Box kommt.
Ist das Feature deaktiviert, dann laufen die externen Loginboxen wie gewohnt.
Wie das mit dem Visual Code aussieht kann man jetzt schon bei mir im Board betrachen.
das vom 2.0.19,
ja Sperrzeit auf 0 oder 1 und die Maximalen Versuche auf 400 oder so
Ich denk mal nicht, dass jemand Lust hat 400 mal meinen Visuellen Bestätigungscode einzutippen.
ja Sperrzeit auf 0 oder 1 und die Maximalen Versuche auf 400 oder so
Ich denk mal nicht, dass jemand Lust hat 400 mal meinen Visuellen Bestätigungscode einzutippen.
Zuletzt geändert von cback am So 15.Jan, 2006 02:57, insgesamt 1-mal geändert.