PDA

View Full Version : Unsafe D-T-W



Rebound
13.09.15, 03:57
Tracker: D-T-W (http://d-t-w.co.in)
Source: Die gleiche Schrott-Source wie bei den meisten anderen deutschen Trackern.

Dieses Mal geht’s D-T-W, was auch immer das heißen soll, an den Kragen. Die Tracker-Source kann ich nicht identifizieren, ist aber der gleiche Müll, der in Deutschland bei vielen Trackern scheinbar angesagt ist. So viel kann ich vorab verraten, auch hier sind die gleichen Lücken vorhanden, wie in den anderen Trackern mit der gleichen oder einer ähnlichen Source.

Serversicherheit

OS: Ubuntu
Webserver: Apache 2.4.7
PHP: 5.5.9 (aktuell 5.5.29)
SMTP: Postfix
SSH: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2, Standardport!

Wie auch bei w00t, haben wir hier zwei ähnliche Ports offen: 8000 und 8001. Letzterer liefert eine identische Antwort, was auf ein gängiges Produkt schließen lässt.
Der Webserver und die PHP Version ist immerhin nicht total veraltet, was an dieser Stelle gar nicht mal so schlecht ist.
Weniger cool ist allerdings, dass PhpMyAdmin direkt zugänglich ist (phpMyAdmin (http://d-t-w.co.in/phpmyadmin/)).
Im Endeffekt sieht es wieder einmal nach einer Standardinstallation aus, die nicht gepflegt und schlecht konfiguriert ist. Zudem handelt es sich um einen OVH Server und die Domain wird von einer deutschen Firma verwaltet, somit kann man guten Gewissens sagen, dass Sicherheitsbewußtsein hier Mangelware ist.

Trackersicherheit

Wie bereits angesprochen verwendet auch D-T-W eine häufig benutzte Source im deutschsprachigen Trackerraum. Daher war es nicht besonders schwer, auch hier ein paar schwerwiegende Sicherheitslücken zu finden. Nachfolgend habe ich die vorhanden Datenbanken aufgelistet und einen kleinen Auszug aus der Benutzertabelle hinzugefügt.

Datenbanken:

beer
information_schema
mysql
performance_schema
phpmyadmin
vmail




ID
Class
Email
Pin
Username
Passhash


11
220
badjoker.joker09@***.com
1608
JimBeam
87203cf8f79a7f8632914d2154243010


36
13
burni2003@***.de
7656
burni
12243bac481cde19162854e38b79b6bc


92
13
evilsadness@***.de
0000
Evil
d0da5579fcc80c60c577076983f9ab73



Interessant zu sehen, dass man auch einen PIN mit vier mal der gleichen Zahl festlegen kann. So macht ein PIN natürlich wenig Sinn. :P

Fazit

Kurz und knackig: Sicherheit und Teamkompetenz ist leider Mangelware. Der Server wird vernachlässigt und die Source ist voller Löcher. Ich kann von diesem Tracker nur abraten.

http://www.sb-innovation.de/attachment.php?attachmentid=15436