Mailer-Project Community

Support&Community Forum

clarity
Mailer-Project Community » Supportanfragen - Archiv » es geht einfach nicht

es geht einfach nicht

Locked

Page: 1

Author Post
jonic
Guest
Hallo,

ich habe mich nun durch das Forum hoch und runter gelesen, leider konnte ich nichts Passendes finden, deshalb frage ich hier:

Ich verwende mxchange-testing_0_2_0-pre10_503

Wenn ich auf die index.php Seite gehe und dann auf "weiter" klicke, komme ich immer auf den Admin-Login....was kann ich tun?

Im Admin-Men� bekomme ich fast bei jedem Aufruf die Meldung:

<<<Ung�ltige action/what-Kombination erkannt! Bitte rufen Sie das Admin-Men� richtig auf! >>>

Und als Beispiel noch:

<<< Fataler Fehler Nr. #1:
� Die action/what-Kombination login / guestedit ist ung�ltig! >>>

Liegt das am System oder an meinen Einstellungen?

Danke f�r die Hilfe
J�rn
jonic
Guest
Ich installiere jetzt die mxchange-0.2.0-pre10-PL511.zip
nochmal neu, vielleicht ja dann :-)

J�rn
jonic
Guest
Hmm.

also mxchange-0.2.0-pre10-PL511.zip

geht gar nicht, bekomme nur die Fehlermeldung HTTP 400
Die Webseite wurde nicht gefunden :-(

Die 512 liess sich wenigstens installieren.

jemand eine Idee?

Gru�
J�rn
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Hast du auch das Patch testing-mxchange.zip verwendet? Denn dort habe ich - weiter unten detailierter beschrieben - einen weiteren Fehler beseitigen koennen.

Ich habe hier im Forum eine Anleitung reingestellt, wie ich es installiert bekommen habe. Dabei habe ich jeden Schritt aufgeschrieben und hier reinkopiert.

Hast du die auch gefunden und alle dort angegebenen Patches und Versionen benutzt? Zuletzt hatte ich einen "Fehler" in der inc/libs/security_functions.php gefunden. Letztendlich fehlte der Eintrag SERVER_ADDR im globalen Datenfeld $_SERVER, welches auf eine Fehlkonfiguration hindeutet. SERVER_ADDR - bzw. $_SERVER['SERVER_ADDR'] - sollte immer die IP-Nummer deines Servers enthalten. Dass ich diese abfrage, ist ein Schutzmechanismus gegen Angriffe, die die Faelschbarkeit von SERVER_NAME - du ahnst es vielleicht bereits, was darin steht - sich zu Nutzen machen.

Dagegen sollte der Schutz eigentlich ausreichen - ohne Garantie versteht sich... :mrgreen:

Okay, versuch' bitte dennoch mal, die Anleitung Schritt-Fuer-Schritt abzuarbeiten. Wenn du sie bereits ausprobiert hast, muss ich genauere Infos haben, um den Fehler im Script zu lokalisieren.
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
« Last edit by Quix0r on Tue Feb 13, 2007 9:03 pm. »
jonic
Guest
Soll ich das testing-mxchange vor der Installation
schon dr�berb�geln?
jonic
Guest
Hallo,

also ich hab es nach deiner Anleitung probiert und die
Version mxchange-testing_0.2.0-pre10_PL511
heruntergeladen.

Diese Version l�sst sich gar nicht erst installieren, da (egal welche .php Datei) ich aufrufe immer der Fehler HTTP 400 Ung�ltige Anforderung kommt.

Selbst wenn ich es versuche, mit deinem testing-mxchange Patch bekomme ich die gleiche Meldung.

Wie schon gesagt, die einzige Version, die sich installieren liess, war die
mxchange-testing_0_2_0-pre10_503
aber dann nur noch Fehler nach dem Einloggen :-(

An meiner Server-config kann es nicht liegen, da auf dem Server schon viele andere PHP Applikationen laufen.

Hast du noch eine Idee?
Gru�
J�rn
jonic
Guest
nochmal, falls irgendwas nicht klar erkl�rt sein sollte.
Ich komme mit der von dir beschriebenen Version nicht bis
zum Punkt 5 deiner Anleitung, da keine Installation durchgef�hrt
werden kann.

bei der anderen Version (mxchange-testing_0_2_0-pre10_503) konnte ich wenigstens installieren bis zum Schluss.

Ein Tipp: Die Versionierung deiner Files ist nicht gerade optimal. Ich weiss selbst, wie schwierig das ist aber du musst bedenken, dass es viele User gibt, die sich mit PHP gar nicht auskennen und damit Probleme bekommen. Das macht dann deine wirklich tolle Arbeit hier kaputt :-(

Stell doch eine ganz simple, aber stabile Ausgangsversion (die auf g�ngigen Serverversionen l�uft) zur Verf�gung und setz dann einzelne Updates dazu, die man relativ einfach einbauen kann (Beispiel oscommerce) Damit sind die richtig gro� geworden.
Vor allem kann dann jeder entscheiden, was er an Erweiterungen braucht und was nicht!

Wenn jemand aber eine Version bekommt, die nicht installierbar ist und dann noch 3 Patches und 5 Anweisungen beachten muss, verliert er schnell die Lust, l�scht alles und l�sst es sein :-(

Tipp: Trage dein Script auch bei PHP-Resource usw. ein, dort gibt es viele Profis, die gerne helfen und weiterentwickeln.....ist ne coole Comunity

Gru�
J�rn
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Hallo,

ich wollte dich nicht persoenlich angreifen. :)

Okay, ich habe einen weiteren Fehler nochmals in security_functions.php entdeckt. Dieser tritt nur auf, wenn die langen Arrays (HTTP_GET_VARS und HTTP_POST_VARS) in der php.ini ausgeschaltet sind. Da mein Script aber diese (0.3.0 bringt da Abhilfe!) verwendet und nicht jeder Zugriff auf die php.ini haben, koennen sie auch nicht den Fehler beseitigen bzw. nur umgehen. Denn:

Mein Script prueft, ob z.B. HTTP_GET_VARS vorhanden ist. Ist dies nicht der Fall, versuche es auch $GLOBALS['HTTP_GET_VARS'] dies zu rekonstruieren. Nur existiert dies ebenfalls nicht, sondern $GLOBALS['_GET'].

Sorry, hier liegt definitiv ein Denkfehler meinerseits vor und ich moechte mich bei euch ehrlich entschuldigen! Ich hoffe, ihr koennt mir den Fehler verzeihen, denn solch ein Szenario habe ich (leider) noch nicht durchgetestet! Ein anderer hatte ebenfalls 400-Fehler bekommen und ich konnte sie mit Beseitigen des obrigen Fehlers ebenfalls beseitigen.

Bitte lade dir also erneut testing-mxchange.zip herunter und spiele es vor der Installation ein.

Gruss,
Roland
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
« Last edit by Quix0r on Tue Feb 13, 2007 9:04 pm. »
jonic
Guest
Hallo Roland,

selbst mit der neuen Datei, immer noch die gleiche
Fehlermeldung!

Noch eine Idee?

Gru�
J�rn
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Teste bitte mal das testing-mxchange.zip (entpackt natuerlich ;) ) erneut. die pruefung der SERVER_ADDR mit der aufgeloesten IP-Nummer von SERVER_NAME war zu streng. Ich lasse jetzt nur die ersten 3 Stellen vergleichen. Ist unsicherer, hat aber den besagten 400-Fehler beseitigt. :)

Wenn es noch immer nicht klappt, gebe mir per PN ein Test-FTP-Account und lade eine phpinfo.php - Inhalt sollte bekannt sein - hoch!

Danke fuer die Muehe.
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
« Last edit by Quix0r on Tue Feb 13, 2007 9:04 pm. »
jonic
Guest
hmmm.

wie kann ich dir in diesem System denn eine PN schicken?
denn dann w�rde ich das tun :mrgreen:
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Habe ich private Nachrichten nicht eingeschaltet? Sonst auf Nickname klicken. Per ICQ geht's auch, kann aber mit sniffern abgefangen werden :(
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
jonic
Guest
du hast Post
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Leider nicht angekommen. Aber du hast Post und kannst im Email-Programm einfach auf Antworten klicken. ;)
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
jonic
Guest
wo denn? Ich finde keine E-Mail an mich :-(
jonic
Guest
okay...ich habs gefunden.

Antwort ist unterwegs
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Ah, hab deine Mail. :)
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
jonic
Guest
Also, es ist mein eigener Server, der hier bei mir zuhause steht.
Ich kann s�mliche �nderungen an der config selber machen, das
w�re nicht das Problem.
Aber da alle anderen Scripts bei mir laufen, will ich eigentlich keine
gro�artigen �nderungen machen ..denn

NEVER CHANGE A RUNNING SYSTEM!!!! :mrgreen:
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Ja, das stimmt okay. ;) Also, ich wuerde folgendes machen:

- inc/libs/security_functions.php oeffnen
- Nach der Zeile mit $ip = .....; suchen
- Danach folgendes einfuegen: die($ip."/".$_SERVER['SERVER_ADDR']."/".$_SERVER['SERVER_NAME']); Und dann schauen, was er an Ausgaben macht.
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
jonic
Guest
die Ausgabe hab ich dir per Mail geschickt, da
ja nicht jeder meine IP bzw URL kennen muss :o
jonic
Guest
ich habe davor noch ein

echo $ip;

gesetzt und dann gibt er mir die IP Adresse meines Servers aus.

Warum machst du eigentlich diese strenge Sicherheitsabfrage?
Ich habe den Sinn darin noch nicht so ganz erkannt.

Gru�
J�rn
jonic
Guest
hmmm... hab nun noch ein test gemacht

habe alles auf Link entfernt durch Admin gespielt, und
bekomme nur eine leere weisse Seite

also auch dort l�sst es sich nicht installieren :-(
den Login bekommst du per E-Mail, dann kannst du
es dir mal anschauen
« Last edit by Quix0r on Fri Mar 23, 2007 12:45 pm. »
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Ich habe mir mal die security_functions.php aus PL503 angesehen. Hier fehlt der if()-Block mit der IP-Nummerueberpruefung ganz. Ich habe das eingebaut, um Angriffe auf SERVER_NAME etwas abzufedern.

Es ist moeglich, mit einer modifizierten Anfrage (GET/HEAD/POST geht alle gleichsam) an einen geziehlten Server einen gefaelschten Host-Eintrag zu senden. Im Host-Eintrag steht normalerweise z.B. forum.mxchange.org. Aber einige "Schlauberger" haben hier mit meinem Server versucht, Adressen wie blabla.com zu erreichen (waren natuerlich andere Adressen).

Was auch immer die damit bezwecken wollten, ich habe mich daher entschieden, dies mit ein paar regulaeren Ausdruecken - man kann auch Scripte an Host uebergeben, ich habe es selber ausprobiert - und eben der Sicherheitsabfrage durch Aufloesen des gegebenen Hostnamens in eine IP-Nummer und Abgleich mit der (theoretisch nicht faelschbaren) IP-Nummer aus SERVER_ADDR abuzfangen.

Allerdings scheint dies auch einige "ehrliche" Anfragen zu unterbinden. Beispielsweise war bei einem die aus SERVER_NAME aufgeloeste IP-Nummer nur in der letzten vierten Stelle unterschiedlich mit der aus SERVER_ADDR. Bei dir war dies sogar komplett unterschiedlich. Hier sperrt natuerlich mein Script.

Hier faellt mir derzeit keine bessere Loesung ein, als dass ihr es auf eigener Gefahr hin ausbaut und somit deaktiviert. Oder nur den IP-Nummernabgleich ausbaut. Ich werde das in 0.3.0 beruecksichtigen und den Test an der besagten Namensaufloesung gleich mit in die Installationsroutine einbauen. Ich muss allerdings schauen, wie und wo ich es implementiere.

Okay, wie ich dir schon in der Mail und eben auch schrieb: Vielleicht kannst du - und auch ihr anderen mit selbigen "weissen Seiten" oder 400-Fehlermeldungen dies mal ausprobieren und den Abgleich der Server-IP mit der aufgeloesten von SERVER_NAME aus security_functions.php ausbauen.

In 0.3.0 wird dies dann wohl grossen Uebels nur zum Teil noch Bestand haben. Ich werde wenigstens die regulaeren Ausdruecke einbauen und einen anderen und besseren Abgleich einbauen.

Gruss,
Quix0r
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato

Locked

Page: 1

Parse time: 0.3938 s · Memory usage: 0.65 MB · Server load: 3.78 · Template sections: 2 · SQL queries: 10

Nokia GNU GPL v3 YaCy Project Honeypot Stop ACTA!

Mailer-Project Community is powered by UseBB 1 Forum Software

threatening-alpha