Closed Thread
Results 1 to 15 of 15

Thread: Andraste

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    Andraste

    Tracker: Andraste
    Source: Custom NetVision2

    Ähnlich schlecht wie der Name, steht es zumindest um den Server. Falls jemand weiß, was dieses „Andraste“ bedeuten soll, kann er mich gerne aufklären.

    Serversicherheit

    OS: Linux, Debian 5
    Datenbank: MySQL 5.5.46
    PHP: 5.3.29
    Webserver: nginx/1.6.2
    SSH: OpenSSH 6.7p1
    Mail: Postfix, Dovecot

    Eine eher durchschnittliche Standardinstallation mit offenliegender PHP-Info und PhpMyAdmin lässt leider nichts gutes hoffen. Da sollte der Verantwortliche auf jeden Fall nachsteuern. Mit ein paar Handgriffen kann man das aber ganz gut regeln.

    Trackersicherheit

    Als Tracker wird eine modifizierte NetVision2 Source verwendet, in der ich keine Lücken finden konnte. Immerhin ist diese relativ gut gepflegt und bietet keinen Angriffspunkt.

    Fazit

    Der Tracker selber ist zwar sicherheitstechnisch unbedenklich, allerdings ist es hier der Server, um den man sich Sorgen machen muss. Die schlechte Konfiguration lassen nur erahnen, dass es da jemand nicht besser wusste, was bei einem Projekt wie einem BitTorrent-Tracker natürlich nicht der Fall sein sollte. Der Server ist der Grundpfeiler für ein seriöses und vor allem sicheres Projekt. Andraste bekommt trotzdem ein "Safe" von mir, weil eine schlechte Serverkonfiguration nun mal nicht automatisch bedeutet, dass er von jedem gehackt werden kann.



    Thanks

  2. Who Said Thanks:

    Hailogugo (15.08.16) , corregidor (07.04.16) , LaTorrenta (30.01.16) , Instab (27.01.16) , sone (27.01.16) , Snitlev (27.01.16) , blood (27.01.16) , Blocker (27.01.16)

  3. #2

    Join Date
    15.01.16
    Location
    Nord-Ost-Süd-West
    P2P Client
    Deluge
    Posts
    39
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss39
    Danke für den Test.

    Zum Thema Andraste https://de.wikipedia.org/wiki/Andraste <- damit sollte das dann auch erklärt sein.
    Thanks

  4. Who Said Thanks:

    blood (27.01.16)

  5. #3

    Join Date
    03.01.16
    P2P Client
    rtorrent
    Posts
    11
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss11
    Quote Originally Posted by Rebound View Post
    [...]
    Eine eher unterdurchschnittliche Standardinstallation mit offenliegender PHP-Info und PhpMyAdmin lässt leider nichts gutes hoffen. Da sollte der Verantwortliche auf jeden Fall nachsteuern. Mit ein paar Handgriffen kann man das aber ganz gut regeln.
    [...]
    Da scheint wohl jemand mitgelesen zu haben, zumindest ich kann beide nicht mehr aufrufen bzw bekomme einmal ein forbidden und einmal ne leere seite zu sehen.

    lg
    Thanks

  6. #4

    Join Date
    27.01.16
    Posts
    6
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss6

    review

    Danke erstmals fürs review.

    Nächstes mal bitte direkt melden vor Veröffentlichung.

    Also zur Verteidigung: PMA war in der alten source ein paar mal reinkopiert und der eine ist über sehen worden ist jetzt weg.
    Die phpinfo war das gleiche Problem: Eine Infofile in der source die bis jetzt einfach nicht gesehen wurde, jetzt ist phpinfo direkt in der INI deaktiviert damit das nicht nochmal passiert.

    Zusätzlich: Es ist ein Debian 8.3. da musst deinen Scanner mal prüfen.
    Alle files liegen auf ner luks part mit twofish 512 xts und logs gehen direkt nach dev null.

    Falls dir aber sonst noch was auffällt bitte sagen, Sicherheit steht an erster stelle. Gegen die phpversion kann man leider momentan nix machen, da die source mit neueren nicht kompatibel ist :/

    Edit: Selbstverständlich läuft auch ein Paketfilter damit nur die benötigten services von aussen erreichbar sind.
    In dem Sinne würde mich doch noch interessieren was du konkret mit "unterdurchschnittlich" meinst abgesehen von der zwei Fehlern mit den info leaks (die ja durchaus berechtigt gemeldet wurden) meinst.

    Danke und Gruß
    Last edited by sone; 27.01.16 at 15:15. Reason: Zusatzinfo
    Thanks

  7. Who Said Thanks:

    Snitlev (27.01.16)

  8. #5
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Quote Originally Posted by sone View Post
    Nächstes mal bitte direkt melden vor Veröffentlichung.
    Nö.

    Quote Originally Posted by sone View Post
    Falls dir aber sonst noch was auffällt bitte sagen, Sicherheit steht an erster stelle. Gegen die phpversion kann man leider momentan nix machen, da die source mit neueren nicht kompatibel ist :/
    Solange keine SQLi's vorhanden sind ist es auch nicht so schlimm.

    Quote Originally Posted by sone View Post
    In dem Sinne würde mich doch noch interessieren was du konkret mit "unterdurchschnittlich" meinst abgesehen von der zwei Fehlern mit den info leaks (die ja durchaus berechtigt gemeldet wurden) meinst.
    Habe es mal auf "durchschnittlich" geändert. Bei einer guten Serverkonfiguration findet man überhaupt keine Informationen zur Software. Aber deine Frage ist der beste Beweis das es "durchschnittlich" eben genau trifft.


    Thanks

  9. #6

    Join Date
    27.01.16
    Posts
    6
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss6
    Naja da gehen die Meinungen auch etwas auseinander security by obscurity funktioniert nicht
    Thanks

  10. #7
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Ihr habt doch euer Safe gekriegt. Der Rest ist doch nun wirklich eher Nebensache und wie ich geschrieben habe, auch relativ leicht zu beheben (was es ja auch schon wurde).


    Thanks

  11. #8

    Join Date
    27.01.16
    Posts
    6
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss6
    Mir gehts ja nicht um das safe ich bin halt für jede Hilfe / Diskussion offen, versteh mich hier nicht falsch :) Ich gucke nachher auch mal und nehm die ganzen Software exposures heraus. Wie gesagt danke für den Test nur kam mir deine Art bisschen harsch vor und ich mag es nicht wenn mir jemand Unfähigkeit unterstellt der mich weder kennt noch mit mir gesprochen hat. Keine Ahnung vielleicht kams auch einfach flasch rüber will absolut keinen Streit lostreten oder dergleichen. Aber Fehler können immer passieren
    Thanks

  12. Who Said Thanks:

    Unschuldig (30.05.16) , Snitlev (27.01.16)

  13. #9
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Quote Originally Posted by sone View Post
    Wie gesagt danke für den Test nur kam mir deine Art bisschen harsch vor und ich mag es nicht wenn mir jemand Unfähigkeit unterstellt der mich weder kennt noch mit mir gesprochen hat. Keine Ahnung vielleicht kams auch einfach flasch rüber will absolut keinen Streit lostreten oder dergleichen. Aber Fehler können immer passieren
    Natürlich schreibe ich meine Reviews so, dass sie polarisieren und sich die betroffenen Personen angegriffen fühlen. Das ist ja Sinn der Sache. Wenn ich hier auf Friede, Freude, Eierkuchen machen würde und vorher jeden Sys0p persönlich kontaktiere und Tipps gebe, kann ich mir den Aufwand ja auch sparen. Ich habe dir nirgens Unfähigkeit unterstellt, aber wer einen Server betreibt, sollte auch wissen was da so drauf rumliegt. Aussagen wie "das war da noch von der alten Source drin" etc. sind nicht haltbar. Als Serveradmin MUSST du wissen was da so rumliegt, sonst hast du deinen Job verfehlt. Selbst wenn das bedeutet, dass man 1000 Ordner per Hand durcharbeiten muss, das spielt keine Rolle.
    Streit will ich auch nicht, aber da es niemand geil findet wenn er mit heruntergelassener Hose da steht, bin ich das absolut gewohnt.


    Thanks

  14. Who Said Thanks:

    Snitlev (28.01.16)

  15. #10

    Join Date
    27.01.16
    Posts
    6
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss6
    Alles klar kein Problem - Das soll auch keineswegs ne Entschuldigung sein, ich bin da völlig bei dir. Ich hab dann deine Art einfach missverstanden

    So nginx version jetzt noch removed.
    Thanks

  16. Who Said Thanks:

    Sleimy (25.07.17) , Rebound (27.01.16)

  17. #11

    Join Date
    03.01.16
    P2P Client
    rtorrent
    Posts
    11
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss11
    Mir ist gerade aufgefallen, in der Trackerübersicht fehlt Andraste noch, ich kanns leider (noch) nicht hinzufügen... und da ich auch kein Review Request thread gefunden habe, und das hier ja zum thema irgendwie halbwegs passt, könnte nicht noch jemand ein Review für den tracker erstellen? Nu bin ich nämlich neugierig geworden :)
    auch hier leider: kann kein review erstellen weil kein acc dort vorhanden ist...


    lg
    Last edited by sebbl; 28.01.16 at 00:08.
    Thanks

  18. #12
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by sebbl View Post
    Mir ist gerade aufgefallen, in der Trackerübersicht fehlt Andraste noch, ich kanns leider (noch) nicht hinzufügen... und da ich auch kein Review Request thread gefunden habe
    der name ist neu, der tracker nicht. siehe: https://www.sb-innovation.de/showthr...threadid=14025
    Your account has been disabled.
    Thanks

  19. #13

    Join Date
    15.01.16
    Location
    Nord-Ost-Süd-West
    P2P Client
    Deluge
    Posts
    39
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss39
    Richtig. der Tracker ist nicht "neu" in dem Sinne Ging aus dem Alt.bitreactor.to Project hervor als es dort ein bisschen Probleme gegeben hat und man sich entschlossen hat das Ganze unter ner neuen Flagge fortzuführen.

    Accounts für den Tracker gibts bald wenn ich mal den Postcount erfülle im im Give-Away Thread ein Thema aufzumachen. Dann lasse ich auch ein paar Zugänge springen für andraste.
    Thanks

  20. Who Said Thanks:

    Snitlev (28.01.16)

  21. #14

    Join Date
    03.01.16
    P2P Client
    rtorrent
    Posts
    11
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss11
    Quote Originally Posted by Instab View Post
    der name ist neu, der tracker nicht. siehe: https://www.sb-innovation.de/showthr...threadid=14025
    Ahh okay das wusste ich nicht, hatte die Suche bemüht aber in den Titeln war da nie auf Andraste zu schließen (vom diesem Thread eben abgesehen). Könnte man da in dem anderen Thread das vll anpassen bzw den neuen Namen mit hinzufügen? Würde anderen sicherlich auch helfen :)


    lg
    Thanks

  22. #15

    Join Date
    15.01.16
    Location
    Nord-Ost-Süd-West
    P2P Client
    Deluge
    Posts
    39
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss39
    Ich denke ich werde mal sobald es geht ein Review verfassen zu dem Thema. Dann hat er seinen eigenen Thread. Hat ja mit dem Vorgänger nicht mehr wirklich viel zu tun (mit dem Namen)
    Thanks

Closed Thread

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •