Closed Thread
Page 3 of 3 FirstFirst 123
Results 31 to 39 of 39

Thread: NRW

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730

    NRW

    Tracker: NRW
    Source: NV-Source

    Ich wurde jetzt schon mehrmals nach einem Security-Review für den NRW-Tracker gefragt. Die Tests zu diesem Tracker wurden von uns bereits vor einigen Wochen durchgeführt. Dabei ging die Initiative vom SysOp selber aus, der an uns herangetreten ist. Bisher war nur noch keine Zeit das Review hier zu veröffentlichen und entsprechend aufzubereiten.

    Serversicherheit

    OS: Debian 8 Update Level 3

    Wie fast alle getesten Server, schneidet auch dieser hier nicht besonders gut ab. Eine Firewall gibt es nicht oder sie funktioniert nicht richtig. Außerdem laufen einige überflüssige Dienste auf dem Server, die unnötige Angriffsfläche bieten: FTP (Standardport), DNS & E-Mail-Dienst.
    MySQL ist von außen ebenfalls erreichbar, es gibt allerdings einen Hostfilter. SSH läuft ebenfalls auf dem Standardport.
    Das OS ist immerhin relativ aktuell, dennoch handelt es sich auch hier um eine schlecht konfigurierte Standardinstallation. Da kann man definitiv noch einiges verbessern.

    Trackersicherheit

    Obwohl die NV-Source verwendet wird die bei vielen Trackern mit Lücken läuft, waren hier keine zu finden. Zusätzlich scheint es eine Art Filter zu geben, der bestimmte Keywords aus den Requests herausfiltert. Wohl auch deshalb konnten keine Lücken aufgespürt werden.

    Fazit

    Da der Tracker in Ordnung ist und die Serversicherheit mit einigen Handgriffen schon aufgebessert werden kann, gibt es keinen Grund diesen Tracker nicht als sicher einzustufen. Positiv ist außerdem, dass der SysOp eigenständig an uns herantgetreten ist. So hätte man eventuelle Sicherheitslücken bereits vor der Veröffentlichung eines Reviews schließen können, was aber nicht notwendig gewesen ist. Zwischen Test und diesem Review ist außerdem schon einige Zeit vergangen, in der hoffentlich die angesprochenen Defizite ausgebessert wurden. Eine erneute Überprüfung wurde nicht durchgeführt.



    Thanks

  2. Who Said Thanks:

    Chaot (17.03.19) , (01.07.17) , Freak69 (11.06.17) , mausi21 (10.06.17) , matrix2003 (10.06.17) , Plex86 (10.06.17) , Hanibal (10.06.17) , Cr@zYiNsEiN (10.06.17) , Großmutter (09.06.17) , Snitlev (09.06.17) , NRW-Team (09.06.17) , Quasar (09.06.17)

  3. #31
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,661
    Activity Longevity
    4/20 18/20
    Today Posts
    0/5 sssss6661
    Quote Originally Posted by NRW-Team View Post
    Deluge geht eingenmächtig hin und stellt seine Scrape Anfragen wenn man die Announce auf eine Subdomain Laufen hat einfach auf die subdomain -> scrape.hauptdomain.tld
    nicht ganz. ich habe in den quelltext von rtorrents libtorrent, transmission und der rasterbar libtorrent geschaut, welche deluge benutzt. die rasterbar lib ersetzt einfach das wort "announce" durch "scrape" in der announce url. wenn du jetzt also als announce url "announce.meine.seite" hast, dann würde deluge, und alle anderen die die rasterbar lib verwenden, daraus "scrape.meine.seite" als scrape url ableiten.
    das ganze direkt zu sehen hier ab zeile 80: https://github.com/libtorrent/libtor...connection.cpp

    rtorrents libtorrent z.b. macht das besser, indem sie sich an "/announce" orientiert, was versehentliches ersetzen von subdomains ausschließt. trivialer unterschied mit großer wirkung.


    zusammenfassend kann man also sagen, daß sich deluge nicht per se subdomains krallt, sondern nur in diesem speziellen fall, durch eine etwas zu ungenaue programmierung, es zu dem effekt kommt, der dir jetzt probleme macht. der übeltäter ist also in der tat deluge bzw. die rasterbar libtorrent, die deluge benutzt.
    ein bugreport wäre angebracht und zu lösen ist das auf verschiedene arten. du könntest zum einen die subdomainwildcard entfernen, wie von Rebound vorgeschlagen. alternativ könnte man mittels rewrite rules des webservers die falschen anfragen an die richtige stelle leiten oder auch abweisen. und als dritte option könnte man die announce url ändern, was aber meist probleme und einen gewissen aufwand verursacht.
    Your account has been disabled.
    Thanks

  4. #32

    Join Date
    15.09.20
    Location
    Erde, Milchstraße@ Laniakea
    P2P Client
    ;)
    Posts
    3
    Activity Longevity
    2/20 5/20
    Today Posts
    0/5 ssssssss3
    Seit 15.9.2020 down.. Weiss jemand etwas...
    Thanks

  5. #33
    Das Unerwartete Staff Mauerwerk's Avatar
    Join Date
    12.03.19
    P2P Client
    Rtorrent
    Posts
    4
    Activity Longevity
    2/20 7/20
    Today Posts
    0/5 ssssssss4
    Quote Originally Posted by JonDoe View Post
    Seit 15.9.2020 down.. Weiss jemand etwas...
    Das liegt an der Infastruktur vom Serverbetreiber. Da wie agekündigt wurde, der Anbieter einiges ändert. Sind auch wieder online, eventuell erstmal die Host datei bearbeiten. Die Änderung der Nameserver kann bis zu 48 Std. dauern.

    lg

    Mauerwerk
    Thanks

  6. Who Said Thanks:

    (19.09.20)

  7. #34

    Join Date
    15.09.20
    Location
    Erde, Milchstraße@ Laniakea
    P2P Client
    ;)
    Posts
    3
    Activity Longevity
    2/20 5/20
    Today Posts
    0/5 ssssssss3

    Question New Real World (NRW) down!! Weiss jemand was da los ist?

    Hallo @All,

    NRW ist seit gestern Mittag weg. Hat jemand eine Ahnung was da los ist???
    Auch die offline (status) Seite ist weg... und die ist sonst immer da...

    ---------- Post Merged at 17:47 ---------- Previous Post was at 09:30 ----------

    Erledigt!!

    Liebe User!

    Leider ist bei den Arbeiten mit dem Umzug beim Hoster was in die Hose gegangen.
    Der Hoster hatte falsche Nameserver eingetragen, deswegen war die Domain nrw-tracker.eu
    nicht erreichbar. Dies betraf auch die Offline und das Radio.

    Nach meherer Tickets mit dem alten und neuem Hoster haben wir es endlich dann hinbekommen
    das die Domain wieder erreichbar ist.

    Teilweise kann sich das aber jetzt noch bis zu 48 Std hinziehen bis der letzte DNS und Nameserver auf der Welt nun wieder nrw-tracker.eu kennt.

    Ich hoffe ihr konntet die 1-2 Tage downtime verkraften...

    Grüße Coder
    Thanks

  8. Who Said Thanks:

    (19.09.20)

  9. #35
    Edit: wir sind wieder Online
    Last edited by TheLegendary; 16.09.20 at 22:41.
    Thanks

  10. #36
    we are back
    Last edited by TheLegendary; 16.09.20 at 22:42.
    Thanks

  11. #37
    kann man sich für den Tracker bewerben?
    Thanks

  12. #38
    Thanks

  13. #39

    Join Date
    19.12.20
    Posts
    1
    Activity Longevity
    0/20 5/20
    Today Posts
    0/5 ssssssss1
    hat sich erledigt, sry
    Last edited by sys_; 19.12.20 at 17:55.
    Thanks

  14. Who Said Thanks:

    (15.04.21)

Closed Thread
Page 3 of 3 FirstFirst 123

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •