Page 3 of 3 FirstFirst 123
Results 31 to 31 of 31

Thread: NRW

  1. #1
    Moderator Robot Territories Champion, Fish Shooter Champion, Bat & Mouse 2 Champion, Bloody Rage Champion, Hot Pepper vs The Water 3 Champion, Snowboard in switzerland Champion, New Years Night Champion, Anchovy Assault Free Play Champion, Kid Launcher Champion, Tropical Dragon Slaughter Champion
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,566
    Activity Longevity
    8/20 20/20
    Today Posts
    2/5 sssss3566

    NRW

    Tracker: NRW
    Source: NV-Source

    Ich wurde jetzt schon mehrmals nach einem Security-Review für den NRW-Tracker gefragt. Die Tests zu diesem Tracker wurden von uns bereits vor einigen Wochen durchgeführt. Dabei ging die Initiative vom SysOp selber aus, der an uns herangetreten ist. Bisher war nur noch keine Zeit das Review hier zu veröffentlichen und entsprechend aufzubereiten.

    Serversicherheit

    OS: Debian 8 Update Level 3

    Wie fast alle getesten Server, schneidet auch dieser hier nicht besonders gut ab. Eine Firewall gibt es nicht oder sie funktioniert nicht richtig. Außerdem laufen einige überflüssige Dienste auf dem Server, die unnötige Angriffsfläche bieten: FTP (Standardport), DNS & E-Mail-Dienst.
    MySQL ist von außen ebenfalls erreichbar, es gibt allerdings einen Hostfilter. SSH läuft ebenfalls auf dem Standardport.
    Das OS ist immerhin relativ aktuell, dennoch handelt es sich auch hier um eine schlecht konfigurierte Standardinstallation. Da kann man definitiv noch einiges verbessern.

    Trackersicherheit

    Obwohl die NV-Source verwendet wird die bei vielen Trackern mit Lücken läuft, waren hier keine zu finden. Zusätzlich scheint es eine Art Filter zu geben, der bestimmte Keywords aus den Requests herausfiltert. Wohl auch deshalb konnten keine Lücken aufgespürt werden.

    Fazit

    Da der Tracker in Ordnung ist und die Serversicherheit mit einigen Handgriffen schon aufgebessert werden kann, gibt es keinen Grund diesen Tracker nicht als sicher einzustufen. Positiv ist außerdem, dass der SysOp eigenständig an uns herantgetreten ist. So hätte man eventuelle Sicherheitslücken bereits vor der Veröffentlichung eines Reviews schließen können, was aber nicht notwendig gewesen ist. Zwischen Test und diesem Review ist außerdem schon einige Zeit vergangen, in der hoffentlich die angesprochenen Defizite ausgebessert wurden. Eine erneute Überprüfung wurde nicht durchgeführt.



    Reply With QuoteReply With Quote
    Thanks

  2. Who Said Thanks:

    Chaot (17.03.19) , (01.07.17) , Freak69 (11.06.17) , mausi21 (10.06.17) , matrix2003 (10.06.17) , Plex86 (10.06.17) , Hanibal (10.06.17) , cloud99 (10.06.17) , Großmutter (09.06.17) , Snitlev (09.06.17) , NRW-Team (09.06.17) , Quasar (09.06.17)

  3. #31
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,592
    Activity Longevity
    5/20 16/20
    Today Posts
    0/5 sssss6592
    Quote Originally Posted by NRW-Team View Post
    Deluge geht eingenmächtig hin und stellt seine Scrape Anfragen wenn man die Announce auf eine Subdomain Laufen hat einfach auf die subdomain -> scrape.hauptdomain.tld
    nicht ganz. ich habe in den quelltext von rtorrents libtorrent, transmission und der rasterbar libtorrent geschaut, welche deluge benutzt. die rasterbar lib ersetzt einfach das wort "announce" durch "scrape" in der announce url. wenn du jetzt also als announce url "announce.meine.seite" hast, dann würde deluge, und alle anderen die die rasterbar lib verwenden, daraus "scrape.meine.seite" als scrape url ableiten.
    das ganze direkt zu sehen hier ab zeile 80: https://github.com/libtorrent/libtor...connection.cpp

    rtorrents libtorrent z.b. macht das besser, indem sie sich an "/announce" orientiert, was versehentliches ersetzen von subdomains ausschließt. trivialer unterschied mit großer wirkung.


    zusammenfassend kann man also sagen, daß sich deluge nicht per se subdomains krallt, sondern nur in diesem speziellen fall, durch eine etwas zu ungenaue programmierung, es zu dem effekt kommt, der dir jetzt probleme macht. der übeltäter ist also in der tat deluge bzw. die rasterbar libtorrent, die deluge benutzt.
    ein bugreport wäre angebracht und zu lösen ist das auf verschiedene arten. du könntest zum einen die subdomainwildcard entfernen, wie von Rebound vorgeschlagen. alternativ könnte man mittels rewrite rules des webservers die falschen anfragen an die richtige stelle leiten oder auch abweisen. und als dritte option könnte man die announce url ändern, was aber meist probleme und einen gewissen aufwand verursacht.
    Your account has been disabled.
    Reply With QuoteReply With Quote
    Thanks

Page 3 of 3 FirstFirst 123

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •