PDA

View Full Version : Safe Andraste



Rebound
26.01.16, 23:48
Tracker: Andraste
Source: Custom NetVision2

Ähnlich schlecht wie der Name, steht es zumindest um den Server. Falls jemand weiß, was dieses „Andraste“ bedeuten soll, kann er mich gerne aufklären. :biggrin:

Serversicherheit

OS: Linux, Debian 5
Datenbank: MySQL 5.5.46
PHP: 5.3.29
Webserver: nginx/1.6.2
SSH: OpenSSH 6.7p1
Mail: Postfix, Dovecot

Eine eher durchschnittliche Standardinstallation mit offenliegender PHP-Info (https://andraste.to/info.php) und PhpMyAdmin (https://andraste.to/include/pma/) lässt leider nichts gutes hoffen. Da sollte der Verantwortliche auf jeden Fall nachsteuern. Mit ein paar Handgriffen kann man das aber ganz gut regeln.

Trackersicherheit

Als Tracker wird eine modifizierte NetVision2 Source verwendet, in der ich keine Lücken finden konnte. Immerhin ist diese relativ gut gepflegt und bietet keinen Angriffspunkt.

Fazit

Der Tracker selber ist zwar sicherheitstechnisch unbedenklich, allerdings ist es hier der Server, um den man sich Sorgen machen muss. Die schlechte Konfiguration lassen nur erahnen, dass es da jemand nicht besser wusste, was bei einem Projekt wie einem BitTorrent-Tracker natürlich nicht der Fall sein sollte. Der Server ist der Grundpfeiler für ein seriöses und vor allem sicheres Projekt. Andraste bekommt trotzdem ein "Safe" von mir, weil eine schlechte Serverkonfiguration nun mal nicht automatisch bedeutet, dass er von jedem gehackt werden kann.


http://www.sb-innovation.de/attachment.php?attachmentid=15433

Nachten
27.01.16, 10:03
Danke für den Test. :klatsch_3:

Zum Thema Andraste https://de.wikipedia.org/wiki/Andraste <- damit sollte das dann auch erklärt sein.

sebbl
27.01.16, 14:49
[...]
Eine eher unterdurchschnittliche Standardinstallation mit offenliegender PHP-Info (https://andraste.to/info.php) und PhpMyAdmin (https://andraste.to/include/pma/) lässt leider nichts gutes hoffen. Da sollte der Verantwortliche auf jeden Fall nachsteuern. Mit ein paar Handgriffen kann man das aber ganz gut regeln.
[...]

Da scheint wohl jemand mitgelesen zu haben, zumindest ich kann beide nicht mehr aufrufen bzw bekomme einmal ein forbidden und einmal ne leere seite zu sehen.

lg

sone
27.01.16, 14:52
Danke erstmals fürs review.

Nächstes mal bitte direkt melden vor Veröffentlichung.

Also zur Verteidigung: PMA war in der alten source ein paar mal reinkopiert und der eine ist über sehen worden ist jetzt weg.
Die phpinfo war das gleiche Problem: Eine Infofile in der source die bis jetzt einfach nicht gesehen wurde, jetzt ist phpinfo direkt in der INI deaktiviert damit das nicht nochmal passiert.

Zusätzlich: Es ist ein Debian 8.3. da musst deinen Scanner mal prüfen.
Alle files liegen auf ner luks part mit twofish 512 xts und logs gehen direkt nach dev null.

Falls dir aber sonst noch was auffällt bitte sagen, Sicherheit steht an erster stelle. Gegen die phpversion kann man leider momentan nix machen, da die source mit neueren nicht kompatibel ist :/

Edit: Selbstverständlich läuft auch ein Paketfilter damit nur die benötigten services von aussen erreichbar sind.
In dem Sinne würde mich doch noch interessieren was du konkret mit "unterdurchschnittlich" meinst abgesehen von der zwei Fehlern mit den info leaks (die ja durchaus berechtigt gemeldet wurden) meinst.

Danke und Gruß

Rebound
27.01.16, 18:50
Nächstes mal bitte direkt melden vor Veröffentlichung.

Nö.



Falls dir aber sonst noch was auffällt bitte sagen, Sicherheit steht an erster stelle. Gegen die phpversion kann man leider momentan nix machen, da die source mit neueren nicht kompatibel ist :/

Solange keine SQLi's vorhanden sind ist es auch nicht so schlimm.



In dem Sinne würde mich doch noch interessieren was du konkret mit "unterdurchschnittlich" meinst abgesehen von der zwei Fehlern mit den info leaks (die ja durchaus berechtigt gemeldet wurden) meinst.

Habe es mal auf "durchschnittlich" geändert. Bei einer guten Serverkonfiguration findet man überhaupt keine Informationen zur Software. Aber deine Frage ist der beste Beweis das es "durchschnittlich" eben genau trifft.

sone
27.01.16, 18:51
Naja da gehen die Meinungen auch etwas auseinander security by obscurity funktioniert nicht

Rebound
27.01.16, 19:00
Ihr habt doch euer Safe gekriegt. Der Rest ist doch nun wirklich eher Nebensache und wie ich geschrieben habe, auch relativ leicht zu beheben (was es ja auch schon wurde).

sone
27.01.16, 19:07
Mir gehts ja nicht um das safe ich bin halt für jede Hilfe / Diskussion offen, versteh mich hier nicht falsch :) Ich gucke nachher auch mal und nehm die ganzen Software exposures heraus. Wie gesagt danke für den Test nur kam mir deine Art bisschen harsch vor und ich mag es nicht wenn mir jemand Unfähigkeit unterstellt der mich weder kennt noch mit mir gesprochen hat. Keine Ahnung vielleicht kams auch einfach flasch rüber will absolut keinen Streit lostreten oder dergleichen. Aber Fehler können immer passieren ;)

Rebound
27.01.16, 19:28
Wie gesagt danke für den Test nur kam mir deine Art bisschen harsch vor und ich mag es nicht wenn mir jemand Unfähigkeit unterstellt der mich weder kennt noch mit mir gesprochen hat. Keine Ahnung vielleicht kams auch einfach flasch rüber will absolut keinen Streit lostreten oder dergleichen. Aber Fehler können immer passieren ;)

Natürlich schreibe ich meine Reviews so, dass sie polarisieren und sich die betroffenen Personen angegriffen fühlen. Das ist ja Sinn der Sache. Wenn ich hier auf Friede, Freude, Eierkuchen machen würde und vorher jeden Sys0p persönlich kontaktiere und Tipps gebe, kann ich mir den Aufwand ja auch sparen. Ich habe dir nirgens Unfähigkeit unterstellt, aber wer einen Server betreibt, sollte auch wissen was da so drauf rumliegt. Aussagen wie "das war da noch von der alten Source drin" etc. sind nicht haltbar. Als Serveradmin MUSST du wissen was da so rumliegt, sonst hast du deinen Job verfehlt. Selbst wenn das bedeutet, dass man 1000 Ordner per Hand durcharbeiten muss, das spielt keine Rolle.
Streit will ich auch nicht, aber da es niemand geil findet wenn er mit heruntergelassener Hose da steht, bin ich das absolut gewohnt. :P

sone
27.01.16, 20:04
Alles klar kein Problem - Das soll auch keineswegs ne Entschuldigung sein, ich bin da völlig bei dir. Ich hab dann deine Art einfach missverstanden ;)

So nginx version jetzt noch removed.

sebbl
28.01.16, 00:07
Mir ist gerade aufgefallen, in der Trackerübersicht fehlt Andraste noch, ich kanns leider (noch) nicht hinzufügen... und da ich auch kein Review Request thread gefunden habe, und das hier ja zum thema irgendwie halbwegs passt, könnte nicht noch jemand ein Review für den tracker erstellen? Nu bin ich nämlich neugierig geworden :)
auch hier leider: kann kein review erstellen weil kein acc dort vorhanden ist...


lg

Instab
28.01.16, 03:59
Mir ist gerade aufgefallen, in der Trackerübersicht fehlt Andraste noch, ich kanns leider (noch) nicht hinzufügen... und da ich auch kein Review Request thread gefunden habe
der name ist neu, der tracker nicht. siehe: https://www.sb-innovation.de/f217/bitreactor-14025

Nachten
28.01.16, 13:39
Richtig. der Tracker ist nicht "neu" in dem Sinne Ging aus dem Alt.bitreactor.to Project hervor als es dort ein bisschen Probleme gegeben hat und man sich entschlossen hat das Ganze unter ner neuen Flagge fortzuführen.

Accounts für den Tracker gibts bald wenn ich mal den Postcount erfülle im im Give-Away Thread ein Thema aufzumachen. Dann lasse ich auch ein paar Zugänge springen für andraste.

sebbl
28.01.16, 15:41
der name ist neu, der tracker nicht. siehe: https://www.sb-innovation.de/f217/bitreactor-14025

Ahh okay das wusste ich nicht, hatte die Suche bemüht aber in den Titeln war da nie auf Andraste zu schließen (vom diesem Thread eben abgesehen). Könnte man da in dem anderen Thread das vll anpassen bzw den neuen Namen mit hinzufügen? Würde anderen sicherlich auch helfen :)


lg

Nachten
28.01.16, 16:06
Ich denke ich werde mal sobald es geht ein Review verfassen zu dem Thema. Dann hat er seinen eigenen Thread. Hat ja mit dem Vorgänger nicht mehr wirklich viel zu tun (mit dem Namen)