403 Forbidden

[globalcow]

Liebe Community,

ich habe mich nun auch einmal an syncCto versucht. Ich habe zwei Contao-Installationen auf dem gleichen Server die über unterschiedliche Domains angesprochen werden. Beide Contao 2.10.4, eine ist ganz frisch aufgesetzt. Der syncCto-Systemcheck läuft in beiden Installationen positiv ab.

Ich habe dann in beiden Installationen die jeweilige andere als Client mit dem entsprechenden Key eingerichtet, das Indicator-Icon vor dem Client-Namen ist grün.
Wenn ich nun aber versuche den Systemcheck für die andere Installation remote durchzuführen bricht Schritt 1 ab und ich bekomme folgende Meldung:
Error on transmission, with message: 403 Forbidden

Leider stehe ich jetzt etwas auf dem Schlauch und weiß nicht wie ich das Problem weiter debuggen sollte. Könnt ihr mir Tipps geben? Gerne gebe ich auch noch weitere Informationen die hilfreich sein könnten für die Problemlösung.

Viele Dank und viele Grüße
globalcow

[globalcow]

Liebe Community,

ich habe jetzt mal in den Server Errorlog geschaut und gesehen, dass ich immer folgende Fehlermeldung bei oben beschriebener Aktion bekomme:

Code:

[Tue Sep 11 19:20:07 2012] [error] [client **.**.**.***] ModSecurity: Multipart parsing error (init): Multipart: Invalid boundary in C-T (malformed). [hostname "****.de"] [uri "/ctoCommunication.php"] [unique_id "UE9yx06KWZYAAAImnwgAAAAG"]
[Tue Sep 11 19:20:07 2012] [error] [client **.***.**.***] ModSecurity: Access denied with code 403 (phase 2). Match of "eq 0" against "REQBODY_ERROR" required. [file "/etc/apache2/modsec2/00_asl_z_antievasion.conf"] [line "36"] [id "330791"] [msg "Failed to parse request body.  This may be an impedence mismatch attack, a broken application or a broken connection.  This is not a false positive.  Check your application or client for errors."] [data "Multipart: Invalid boundary in C-T (malformed)."] [severity "CRITICAL"] [hostname "****.de"] [uri "/ctoCommunication.php"] [unique_id "UE9yx06KWZYAAAImnwgAAAAG"]

So fit in Serversachen bin ich nun leider doch nicht. Ist das ein Problem mit Suhosin? Wenn ja, was muss ich meinem Provider sagen damit es funktioniert? Suhosin völlig deaktivieren oder irgendetwas umkonfigurieren?

Vielen Dank und viele Grüße
globalcow

[andreasisaak]

Und dein Systemcheck sagt dir nicht das Suhosin stört? Prüf bitte nochmal den Check auf beiden Installationen - Suhosin ist auf jeden Fall ein Grund warum syncCto nicht funktioniert.

[globalcow]

Hi andreasisaak,

achso, Suhosin wird ja im Systemcheck auch schon automatisch geprüft. Hmm, es ist aber tatsächlich alles bis auf GMP im grünen Bereich.

Das scheint ja auf jeden Fall ein Problem mit der ModSecurity Firewall zu sein. Ob das nun aber eine zu strikte Regel ist oder ein Fehler in syncCto kann ich beim besten Willen nicht beurteilen. Hast du vielleicht noch eine Idee?

Viele Grüße
globalcow

[andreasisaak]

modsecurity und Suhosin passen leider nicht mit syncCto zusammen. Da können wir beim besten Willen nichts mehr machen.

Wir werden aber mal prüfen warum der Systemcheck nicht ausschlägt bei Suhosin und modsecurity werden wir auch aufnehmen.

[globalcow]

Hi andreasisaak,
Wenn ModSecurity auch ein Ausschlußkriterium ist, ist das natürlich sehr schade.

Ich hatte mir das inzwischen nochmals detaillierter angeschaut. Keine Ahnung ob diese Erkenntnisse dann überhaupt noch jemanden interessieren, ich möchte sie aber auch niemanden vorenthalten:

ModSecurity schlägt bei zwei Sachen an:

1. Regelverletzung: Multipart parsing error (init): Multipart: Invalid boundary in C-T (malformed).
   Das liegt daran das die MultipartFormdata Klasse von Contao folgendes in den Header schreibt:
   Content-Type: multipart/form-data, boundary=50510c261cf9b
   Richtig ist aber:
   Content-Type: multipart/form-data; boundary=50510c261cf9b
   Also mit Strichpunkt. Zumindest in 2.10.4 ist das so. Nehme ich das raus, bekomme ich die
2. Regelverletzung:
   Pattern match "(?:chr|fwrite|rot13|fopen|system|passthru|php_una me|popen|proc_open|shell_exec|exec|eval|proc_nice| proc_terminate|proc_get_status|proc_close|pfsockop en|leak|apache_child_terminate|posix_kill|posix_mk fifo|posix_setpgid|posix_setsid|posix_setuid|phpin fo| ..." at REQUEST_HEADERS:User-Agent.
   Das liegt wiederum daran das syncCto folgendes in den Header schreibt:
   User-Agent: Mozilla/5.0 (compatible; CyberSpectrum RequestExtended on Contao 2.10.4; rv:1.0; CtoCommunication RPC System (ctoComV0.5.0)
   Das Wort 'System' ist dabei aber nicht erlaubt.

Verändere ich das läuft der Remote-Systemcheck erfolgreich durch. Weiter habe ich jetzt erstmal nichts versucht.

Danke auf jeden Fall für deine Antworten!

Gute Nacht
globalcow

[andreasisaak]

schreibst du mir bitte ein ticket? die von dir herausgesuchten infos sind ziemlich nützlich. zumindest die 2te regel könnten wir korrigieren

mal schauen ob wir das auch bei der ersten schaffen.

[andreasisaak]

ach ja wie wird der header in 2.11.5 von contao aufgebaut? kannst das herausfinden?

[globalcow]

Hi andreasisaak,

habe dir das Ticket geschrieben. Schön das es hilfreich ist.

Mir ist außerdem aufgefallen das die MultipartFormdata.php ja durch die Erweiterung httprequestextended von Christian Schiffler bereitgestellt wird. Folglich ist die 1. Regelverletzung unabhängig von der Contao-Version.

Grüße
globalcow

[xtra]

bitte testen: https://github.com/Discordier/httpre...zipball/master
sollte mit commit 8f8baaffc4 behoben sein

nebenbei hab ich den von Stefan Heimes gewynschten idna support mit drin.