Page 3 of 3 FirstFirst 123
Results 31 to 38 of 38

Thread: NRW

  1. #1
    Moderator Robot Territories Champion, Fish Shooter Champion, Bat & Mouse 2 Champion, Bloody Rage Champion, Hot Pepper vs The Water 3 Champion, Snowboard in switzerland Champion, New Years Night Champion, Anchovy Assault Free Play Champion, Kid Launcher Champion, Tropical Dragon Slaughter Champion
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,686
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3686

    NRW

    Tracker: NRW
    Source: NV-Source

    Ich wurde jetzt schon mehrmals nach einem Security-Review für den NRW-Tracker gefragt. Die Tests zu diesem Tracker wurden von uns bereits vor einigen Wochen durchgeführt. Dabei ging die Initiative vom SysOp selber aus, der an uns herangetreten ist. Bisher war nur noch keine Zeit das Review hier zu veröffentlichen und entsprechend aufzubereiten.

    Serversicherheit

    OS: Debian 8 Update Level 3

    Wie fast alle getesten Server, schneidet auch dieser hier nicht besonders gut ab. Eine Firewall gibt es nicht oder sie funktioniert nicht richtig. Außerdem laufen einige überflüssige Dienste auf dem Server, die unnötige Angriffsfläche bieten: FTP (Standardport), DNS & E-Mail-Dienst.
    MySQL ist von außen ebenfalls erreichbar, es gibt allerdings einen Hostfilter. SSH läuft ebenfalls auf dem Standardport.
    Das OS ist immerhin relativ aktuell, dennoch handelt es sich auch hier um eine schlecht konfigurierte Standardinstallation. Da kann man definitiv noch einiges verbessern.

    Trackersicherheit

    Obwohl die NV-Source verwendet wird die bei vielen Trackern mit Lücken läuft, waren hier keine zu finden. Zusätzlich scheint es eine Art Filter zu geben, der bestimmte Keywords aus den Requests herausfiltert. Wohl auch deshalb konnten keine Lücken aufgespürt werden.

    Fazit

    Da der Tracker in Ordnung ist und die Serversicherheit mit einigen Handgriffen schon aufgebessert werden kann, gibt es keinen Grund diesen Tracker nicht als sicher einzustufen. Positiv ist außerdem, dass der SysOp eigenständig an uns herantgetreten ist. So hätte man eventuelle Sicherheitslücken bereits vor der Veröffentlichung eines Reviews schließen können, was aber nicht notwendig gewesen ist. Zwischen Test und diesem Review ist außerdem schon einige Zeit vergangen, in der hoffentlich die angesprochenen Defizite ausgebessert wurden. Eine erneute Überprüfung wurde nicht durchgeführt.



    Reply With QuoteReply With Quote
    Thanks

  2. Who Said Thanks:

    Chaot (17.03.19) , (01.07.17) , Freak69 (11.06.17) , mausi21 (10.06.17) , matrix2003 (10.06.17) , Plex86 (10.06.17) , Hanibal (10.06.17) , cloud99 (10.06.17) , Großmutter (09.06.17) , Snitlev (09.06.17) , NRW-Team (09.06.17) , Quasar (09.06.17)

  3. #31
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,645
    Activity Longevity
    3/20 17/20
    Today Posts
    0/5 sssss6645
    Quote Originally Posted by NRW-Team View Post
    Deluge geht eingenmächtig hin und stellt seine Scrape Anfragen wenn man die Announce auf eine Subdomain Laufen hat einfach auf die subdomain -> scrape.hauptdomain.tld
    nicht ganz. ich habe in den quelltext von rtorrents libtorrent, transmission und der rasterbar libtorrent geschaut, welche deluge benutzt. die rasterbar lib ersetzt einfach das wort "announce" durch "scrape" in der announce url. wenn du jetzt also als announce url "announce.meine.seite" hast, dann würde deluge, und alle anderen die die rasterbar lib verwenden, daraus "scrape.meine.seite" als scrape url ableiten.
    das ganze direkt zu sehen hier ab zeile 80: https://github.com/libtorrent/libtor...connection.cpp

    rtorrents libtorrent z.b. macht das besser, indem sie sich an "/announce" orientiert, was versehentliches ersetzen von subdomains ausschließt. trivialer unterschied mit großer wirkung.


    zusammenfassend kann man also sagen, daß sich deluge nicht per se subdomains krallt, sondern nur in diesem speziellen fall, durch eine etwas zu ungenaue programmierung, es zu dem effekt kommt, der dir jetzt probleme macht. der übeltäter ist also in der tat deluge bzw. die rasterbar libtorrent, die deluge benutzt.
    ein bugreport wäre angebracht und zu lösen ist das auf verschiedene arten. du könntest zum einen die subdomainwildcard entfernen, wie von Rebound vorgeschlagen. alternativ könnte man mittels rewrite rules des webservers die falschen anfragen an die richtige stelle leiten oder auch abweisen. und als dritte option könnte man die announce url ändern, was aber meist probleme und einen gewissen aufwand verursacht.
    Your account has been disabled.
    Reply With QuoteReply With Quote
    Thanks

  4. #32

    Join Date
    15.09.20
    Location
    Erde, Milchstraße@ Laniakea
    P2P Client
    ;)
    Posts
    3
    Activity Longevity
    1/20 0/20
    Today Posts
    0/5 ssssssss3
    Seit 15.9.2020 down.. Weiss jemand etwas...
    Reply With QuoteReply With Quote
    Thanks

  5. #33
    Das Unerwartete Staff
    Join Date
    12.03.19
    P2P Client
    Rtorrent
    Posts
    2
    Activity Longevity
    1/20 3/20
    Today Posts
    0/5 ssssssss2
    Quote Originally Posted by JonDoe View Post
    Seit 15.9.2020 down.. Weiss jemand etwas...
    Das liegt an der Infastruktur vom Serverbetreiber. Da wie agekündigt wurde, der Anbieter einiges ändert. Sind auch wieder online, eventuell erstmal die Host datei bearbeiten. Die Änderung der Nameserver kann bis zu 48 Std. dauern.

    lg

    Mauerwerk
    Reply With QuoteReply With Quote
    Thanks

  6. Who Said Thanks:

    Maximuswcm (19.09.20)

  7. #34

    Join Date
    15.09.20
    Location
    Erde, Milchstraße@ Laniakea
    P2P Client
    ;)
    Posts
    3
    Activity Longevity
    1/20 0/20
    Today Posts
    0/5 ssssssss3

    Question New Real World (NRW) down!! Weiss jemand was da los ist?

    Hallo @All,

    NRW ist seit gestern Mittag weg. Hat jemand eine Ahnung was da los ist???
    Auch die offline (status) Seite ist weg... und die ist sonst immer da...

    ---------- Post Merged at 17:47 ---------- Previous Post was at 09:30 ----------

    Erledigt!!

    Liebe User!

    Leider ist bei den Arbeiten mit dem Umzug beim Hoster was in die Hose gegangen.
    Der Hoster hatte falsche Nameserver eingetragen, deswegen war die Domain nrw-tracker.eu
    nicht erreichbar. Dies betraf auch die Offline und das Radio.

    Nach meherer Tickets mit dem alten und neuem Hoster haben wir es endlich dann hinbekommen
    das die Domain wieder erreichbar ist.

    Teilweise kann sich das aber jetzt noch bis zu 48 Std hinziehen bis der letzte DNS und Nameserver auf der Welt nun wieder nrw-tracker.eu kennt.

    Ich hoffe ihr konntet die 1-2 Tage downtime verkraften...

    Grüße Coder
    Reply With QuoteReply With Quote
    Thanks

  8. Who Said Thanks:

    Maximuswcm (19.09.20)

  9. #35
    Edit: wir sind wieder Online
    Last edited by TheLegendary; 16.09.20 at 22:41.
    Reply With QuoteReply With Quote
    Thanks

  10. #36
    we are back
    Last edited by TheLegendary; 16.09.20 at 22:42.
    Reply With QuoteReply With Quote
    Thanks

  11. #37
    kann man sich für den Tracker bewerben?
    Reply With QuoteReply With Quote
    Thanks

  12. #38
    Reply With QuoteReply With Quote
    Thanks

Page 3 of 3 FirstFirst 123

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •