Seite 1 von 3
Sinn und Unsinn von CTracker
Verfasst: 11.07.2005 00:50
von Einste1n
Eines vorweck ... ich möchte die arbeit von CBack hier nicht schlecht machen! Es geht mir nur darum, besser beurteilen zu können, wie effektiv dieser mod arbeitet weil ich immer gerne die Balance zwischen Nutzen und Belastung des Forums halten möchte. Vorallem in der hinsicht, das ich mein Board immer recht schnell up to date halte, ist dieser Mod sinnvoll oder reicht es das Board immer nur up to date zu halten ?
mfg
Einste1n
Verfasst: 11.07.2005 01:09
von kellanved
Das Board sollte man immer up-to-date halten.
Ich bin mit Cbacks Mod nicht vertraut, daher kann ich nicht über diese sprechen. Allerdings habe ich mir mittlerweile die sogennante "security" Mod angesehen; diese verschwendet in erster Linie Ressourcen und tut sonst nicht viel. Es ist immer möglich (z.B. mittels "chr") Kommandos durch eine Lücke zu schleusen ohne daß die Mod es merkt/merken kann.
Eine solche Mod könnte eine sinnvolle Ergänzung sein, keinesfalls ersetzt sie Updates.
Verfasst: 11.07.2005 07:21
von Max
Hallo,
das ist eine sehr sinnvolle Sache.
Zu meiner Meinungsbildung; als dieser fiese Wurm am Anfang des Jahres herumwütete, habe ich anfangs nur den Schutz mittels .htaccess genutzt, das hat zwar das Board geschützt, aber die Belastung war immer noch da. Das Forum wurde so dermaßen angemacht, dass mir der Hoster wegen der Belastung mit Kündigung gedroht hat.
Die Last hat sich gelegt, nachdem ich die erste Version des CrackerTracker eingebaut habe.
Nun gibt es inzwischen Version 3 pro und ich fühle mich wohl damit, auch wenn die erste Version sogar 2.0.6er Boards geschützt hat, meine ich, dass der Einsatz dieses MODs nicht vom Updaten befreit.
Wer sein Board immer aktuell hält, muss sich wenig Sorgen machen, aber mit dem CTracker muss man sich noch weniger Sorgen machen. Aber trotzdem ist das kein Freibrief. Schlechte Passwörter usw. sind dann die größten Lücken.
Anommander Rake hat geschrieben:Ich bin mit Cbacks Mod nicht vertraut, daher kann ich nicht über diese sprechen. Allerdings habe ich mir mittlerweile die sogennante "security" Mod angesehen; ...
dazu fällt mir ein:
Ich habe zwar noch nie Weintrauben gesehen, aber die Stachelberen neulich waren nicht so toll...
Gruß Max
Verfasst: 12.07.2005 10:10
von ATARI
der cracker tracker professional ist der wichtigste mod für phpbb.
im gegensatz zu phpbb security blockt cracker tracker auch "chr" attaken.
test: einfach hinter die komplette url eines forum mit ctracker ein "?chr" anhängen (
www.doemain.de/phpBB2/index.php?chr) und dann mal schauen was passiert!
Verfasst: 12.07.2005 10:25
von MartinWilli83
atari und max rechtgeb kann auch nur gutes von sagen und perfomrnce einbussen sind nicht zu spühren
Verfasst: 12.07.2005 11:54
von ATARI
is auch ganz klar.
phpbb security von austin loggt die angriffe in der datenbank, bei ctracker werden sie lediglich in einem txt-file gespeichert.
jetzt kann sich jeder vorstellen, was passiert wenn da mal ein wurm auffährt und ein paar hundert attacken fährt..
das geht bei phpbb security natürlich extrem auf die db, die ja eigentlich durch den mod geschützt werden soll.
somit schlägt sich phpbb security mit seinen eigenen waffen, während der crackertracker echten und zuverlässigen schutz gegen würmer und cracker bietet - sogar für boards, die nicht auf den 2.0.16 kernel basieren, sondern auf einen älteren.
diese werden durch die sog. Injection Detection insofern noch zusätzlich geschützt, als dass es nicht mehr möglich ist über die sessions an admin-rechte zu gelangen.
von solchen features träumt phpbb security nur..
Verfasst: 12.07.2005 13:39
von easygo
Max hat geschrieben:Zu meiner Meinungsbildung; als dieser fiese Wurm am Anfang des Jahres herumwütete, habe ich anfangs nur den Schutz mittels .htaccess genutzt, das hat zwar das Board geschützt, aber die Belastung war immer noch da. Das Forum wurde so dermaßen angemacht, dass mir der Hoster wegen der Belastung mit Kündigung gedroht hat.
Die Last hat sich gelegt, nachdem ich die erste Version des CrackerTracker eingebaut habe.
Hm, das mit der Belastung kann ich net nachvollziehen.
Scheint ja ein Mega Forum zu sein.
Oder ein ziemlich bescheidener Hoster, however...
Zur Abwechslung mal was Objektives in Sachen Erfahrung
von jemand, der kein Moderator ist bei cback ^^
Ich will net sagen
überflüssig, aber eine .htaccess kann
solche Security MODs durchaus arbeitslos machen.
Jo zurück zur Werbung...
easy
Verfasst: 12.07.2005 14:23
von Max
easygo hat geschrieben:Scheint ja ein Mega Forum zu sein.
Oder ein ziemlich bescheidener Hoster, however...
1.) nö
2.) eigentlich nicht.
Hallo Herr
nachgehend einiger Beschwerden von Kunden der Performance betreffend, habe ich eben ihre Seite als der Top Performer auf dem Server ausgemacht. Sie benutzen derzeit ca. 2/3 der Performance die eigentlich 99 anderen Kunden zu Teil sein sollte. Für einen Shared Server ist dies unhaltbar.
Das Problem hierbei sind wirklich die massiven Aufrufe ihre Seite und die damit verbundenen Script Abläufe sowie Datenbank Abfragen/Aktualisierungen. Ausgehend von dem Angebot auf ihrer Seite ist dies natürlich nicht verwunderlich. Weiterhin ist anzumerken, dass durch die zu kleine Wahl des Servers bzw. des Tarifs auch ihre User unter einem langsamen Seitenaufbau zu leiden haben.
Bitte beachten sie hierbei, dass der Traffic kein Maß für die Belastung des Servers darstellt. Sie können Beispielsweise eine umfangreiche Primzahlenberechnung per Script durchführen ohne jegliche Daten auszugeben. Das Resultat wäre eine sehr hohe Last des Servers und 0 Byte verbrauchten Traffic.
Um Ihnen die Last etwas zu veranschaulichen haben wir ihre Seite nun auf einen separaten Server L verlegt auf welchem sie weiterhin Zugang zu unserer Monitoring Oberfläche erhalten (Zugangsdaten am unteren Ende dieser E-Mail).
Nachfolgend haben sie 2 Möglichkeiten:
1. - Managed Server mieten
2. - Seite entsprechend eines Shared Servers verkleinern
Wir geben ihnen nun eine Woche die Moeglichkeit den Geschwindigkeitsvorteil des Servers zu testen und etwaige Optimierungen an ihrer Seite vorzunehmen. Optimierungen könnten sein:
- Einsparungen in bestimmten Datenbank Anfragen
- Indexierung bestimmter Spalten in der Datenbank
- Umfangreiche Berechnungen in PHP/Perl abändern bzw. cachen
- Bilder Operationen (dynamische Verkleinerungen etc.) möglichst vermeiden
- eventuelle Forum/Portal Hacks abschalten bzw. auf neueste Versionen updaten
- Datenbank optimieren/reparieren (im PHPMyAadmin)
- Datenbankverbindung immer mit einem mysql_close() schließen um Sleep Verbindungen zu vermeiden.
Ihre Seiten wurden eben zum Umzug freigegeben und werden in etwa 3-4 Stunden wieder online sein. Uns blieb in diesem Fall leider keine Wahl, da der Shared Server non Stop am Limit lief.
Sollte die Last(Load) des Servers über der Grenze von 0.2 bleiben sollten sie unsere Managed Server, oder das Angebot eines anderen Anbieters in Betracht ziehen. Andernfalls werden wir ihre Domains natürlich umgehend auf den entsprechenden Shared Server zurückziehen.
Ich habe die Seite im Endeffekt übrigens nicht verkleinert.
Ist zwar OT, aber wenn man mich drauf anspricht....
Gruß Max
Verfasst: 12.07.2005 14:38
von easygo
Hi Max,
Thema
Scriptfehler auf deinen Seiten hatten wir ja schon mal
bei oxpus ( glaub ich ) und es "waren" einige...
Weiterhin ist anzumerken, dass durch die zu kleine Wahl des Servers bzw. des Tarifs auch ihre User unter einem langsamen Seitenaufbau zu leiden haben.
Ohne Kommentar ^^
easy
Verfasst: 12.07.2005 14:43
von ATARI
easygo hat geschrieben:
von jemand, der kein Moderator ist bei cback ^^
[..]
ich bin kein moderator bei cback, ich halte ihn leidglich für ein sehr fähiges junges Talent im php(bb) bereich.
und ctracker prof. mit einer htaccess zu vergleichen - das ist schon mehr als ne beleidigung..