Mailer-Project Community

Support&Community Forum

es geht einfach nicht

Locked

Page: 1

Author Post
jonic
Guest
jonic
Guest
jonic
Guest
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Hast du auch das Patch testing-mxchange.zip verwendet? Denn dort habe ich - weiter unten detailierter beschrieben - einen weiteren Fehler beseitigen koennen.

Ich habe hier im Forum eine Anleitung reingestellt, wie ich es installiert bekommen habe. Dabei habe ich jeden Schritt aufgeschrieben und hier reinkopiert.

Hast du die auch gefunden und alle dort angegebenen Patches und Versionen benutzt? Zuletzt hatte ich einen "Fehler" in der inc/libs/security_functions.php gefunden. Letztendlich fehlte der Eintrag SERVER_ADDR im globalen Datenfeld $_SERVER, welches auf eine Fehlkonfiguration hindeutet. SERVER_ADDR - bzw. $_SERVER['SERVER_ADDR'] - sollte immer die IP-Nummer deines Servers enthalten. Dass ich diese abfrage, ist ein Schutzmechanismus gegen Angriffe, die die Faelschbarkeit von SERVER_NAME - du ahnst es vielleicht bereits, was darin steht - sich zu Nutzen machen.

Dagegen sollte der Schutz eigentlich ausreichen - ohne Garantie versteht sich... :mrgreen:

Okay, versuch' bitte dennoch mal, die Anleitung Schritt-Fuer-Schritt abzuarbeiten. Wenn du sie bereits ausprobiert hast, muss ich genauere Infos haben, um den Fehler im Script zu lokalisieren.
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
« Last edit by Quix0r on Tue Feb 13, 2007 9:03 pm. »
jonic
Guest
jonic
Guest
jonic
Guest
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Hallo,

ich wollte dich nicht persoenlich angreifen. :)

Okay, ich habe einen weiteren Fehler nochmals in security_functions.php entdeckt. Dieser tritt nur auf, wenn die langen Arrays (HTTP_GET_VARS und HTTP_POST_VARS) in der php.ini ausgeschaltet sind. Da mein Script aber diese (0.3.0 bringt da Abhilfe!) verwendet und nicht jeder Zugriff auf die php.ini haben, koennen sie auch nicht den Fehler beseitigen bzw. nur umgehen. Denn:

Mein Script prueft, ob z.B. HTTP_GET_VARS vorhanden ist. Ist dies nicht der Fall, versuche es auch $GLOBALS['HTTP_GET_VARS'] dies zu rekonstruieren. Nur existiert dies ebenfalls nicht, sondern $GLOBALS['_GET'].

Sorry, hier liegt definitiv ein Denkfehler meinerseits vor und ich moechte mich bei euch ehrlich entschuldigen! Ich hoffe, ihr koennt mir den Fehler verzeihen, denn solch ein Szenario habe ich (leider) noch nicht durchgetestet! Ein anderer hatte ebenfalls 400-Fehler bekommen und ich konnte sie mit Beseitigen des obrigen Fehlers ebenfalls beseitigen.

Bitte lade dir also erneut testing-mxchange.zip herunter und spiele es vor der Installation ein.

Gruss,
Roland
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
« Last edit by Quix0r on Tue Feb 13, 2007 9:04 pm. »
jonic
Guest
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Teste bitte mal das testing-mxchange.zip (entpackt natuerlich ;) ) erneut. die pruefung der SERVER_ADDR mit der aufgeloesten IP-Nummer von SERVER_NAME war zu streng. Ich lasse jetzt nur die ersten 3 Stellen vergleichen. Ist unsicherer, hat aber den besagten 400-Fehler beseitigt. :)

Wenn es noch immer nicht klappt, gebe mir per PN ein Test-FTP-Account und lade eine phpinfo.php - Inhalt sollte bekannt sein - hoch!

Danke fuer die Muehe.
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
« Last edit by Quix0r on Tue Feb 13, 2007 9:04 pm. »
jonic
Guest
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Habe ich private Nachrichten nicht eingeschaltet? Sonst auf Nickname klicken. Per ICQ geht's auch, kann aber mit sniffern abgefangen werden :(
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
jonic
Guest
du hast Post
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Leider nicht angekommen. Aber du hast Post und kannst im Email-Programm einfach auf Antworten klicken. ;)
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
jonic
Guest
wo denn? Ich finde keine E-Mail an mich :-(
jonic
Guest
okay...ich habs gefunden.

Antwort ist unterwegs
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Ah, hab deine Mail. :)
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
jonic
Guest
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Ja, das stimmt okay. ;) Also, ich wuerde folgendes machen:

- inc/libs/security_functions.php oeffnen
- Nach der Zeile mit $ip = .....; suchen
- Danach folgendes einfuegen: die($ip."/".$_SERVER['SERVER_ADDR']."/".$_SERVER['SERVER_NAME']); Und dann schauen, was er an Ausgaben macht.
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
jonic
Guest
die Ausgabe hab ich dir per Mail geschickt, da
ja nicht jeder meine IP bzw URL kennen muss :o
jonic
Guest
jonic
Guest
« Last edit by Quix0r on Fri Mar 23, 2007 12:45 pm. »
Project Founder
Registered: Sep 2005
Posts: 1395
Location: Krefeld
Ich habe mir mal die security_functions.php aus PL503 angesehen. Hier fehlt der if()-Block mit der IP-Nummerueberpruefung ganz. Ich habe das eingebaut, um Angriffe auf SERVER_NAME etwas abzufedern.

Es ist moeglich, mit einer modifizierten Anfrage (GET/HEAD/POST geht alle gleichsam) an einen geziehlten Server einen gefaelschten Host-Eintrag zu senden. Im Host-Eintrag steht normalerweise z.B. forum.mxchange.org. Aber einige "Schlauberger" haben hier mit meinem Server versucht, Adressen wie blabla.com zu erreichen (waren natuerlich andere Adressen).

Was auch immer die damit bezwecken wollten, ich habe mich daher entschieden, dies mit ein paar regulaeren Ausdruecken - man kann auch Scripte an Host uebergeben, ich habe es selber ausprobiert - und eben der Sicherheitsabfrage durch Aufloesen des gegebenen Hostnamens in eine IP-Nummer und Abgleich mit der (theoretisch nicht faelschbaren) IP-Nummer aus SERVER_ADDR abuzfangen.

Allerdings scheint dies auch einige "ehrliche" Anfragen zu unterbinden. Beispielsweise war bei einem die aus SERVER_NAME aufgeloeste IP-Nummer nur in der letzten vierten Stelle unterschiedlich mit der aus SERVER_ADDR. Bei dir war dies sogar komplett unterschiedlich. Hier sperrt natuerlich mein Script.

Hier faellt mir derzeit keine bessere Loesung ein, als dass ihr es auf eigener Gefahr hin ausbaut und somit deaktiviert. Oder nur den IP-Nummernabgleich ausbaut. Ich werde das in 0.3.0 beruecksichtigen und den Test an der besagten Namensaufloesung gleich mit in die Installationsroutine einbauen. Ich muss allerdings schauen, wie und wo ich es implementiere.

Okay, wie ich dir schon in der Mail und eben auch schrieb: Vielleicht kannst du - und auch ihr anderen mit selbigen "weissen Seiten" oder 400-Fehlermeldungen dies mal ausprobieren und den Abgleich der Server-IP mit der aufgeloesten von SERVER_NAME aus security_functions.php ausbauen.

In 0.3.0 wird dies dann wohl grossen Uebels nur zum Teil noch Bestand haben. Ich werde wenigstens die regulaeren Ausdruecke einbauen und einen anderen und besseren Abgleich einbauen.

Gruss,
Quix0r
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato

Locked

Page: 1

Parse time: 0.1769 s · Memory usage: 0.66 MB · Server load: 1.87 · Template sections: 2 · SQL queries: 10

Mailer-Project Community is powered by UseBB 1 Forum Software