Rebound
19.09.16, 21:34
Tracker: BitCity-Reloaded (https://bc-reloaded.net/)
Source: NV-Source
Hier sind wir wieder, mit einer neuen Ausgabe unserer berühmt berüchtigten Security-Reviews. :P
Heute hat es den Tracker BitCity-Reloaded erwischt. Ob es tatsächlich ein offizieller Nachfolger vom damaligen BitCity-Tracker ist, weiß ich nicht genau. Falls ja, sind die Verantwortlichen von damals jedenfalls nicht mehr am Ruder. Auch dieses Review wird wieder die eine oder andere Überraschung für euch parat haben.
Serversicherheit
OS: Linux, Debian 6
MAIL: Postfix, Dovecot
WWW: nginx/0.7.67, lighttpd 1.4.28
SSH: OpenSSH 5.5p1 Debian 6+squeeze5
Der Serverstandort in Moldavien ist gut, der Rest weniger. Zwei verschiedene Webserverversionen die beide bekannte Lücken haben sowie drei offene RPC Ports auf die ich, im Interesse der Seite, nicht näher eingehe. Die Notwendigkeit eines kompletten Mailservers für einen Tracker ist ebenfalls fraglich. Hinweise auf eine Firewall gab es keine.
Alles in allem kein guter Eindruck, da unnötig viele Angriffspunkte gegeben werden und auch noch Software mit bekannten Schwachstellen Verwendung findet.
Trackersicherheit
Es gibt wieder mindestens eine bekannte Standardlücke, mit der man vollen Zugriff auf die Datenbank erhält. Es ist mittlerweile schon fast langweilig, weil fast alle Tracker die gleichen Sourcen mit den gleichen Lücken benutzen. Besonders amüsant ist ein Schriftwechsel zwischen Logitech (Sysop) und Legion (User), in dem sich über den Tracker „Nachtwerk“ lustig gemacht wird und dem stattgefundenen Hack von mir. Was für eine Ironie. Damit die Allgemeinheit auch etwas davon hat, folgt der PN-Verkehr zwischen den beiden.
PN-Wechsel zwischen Logitech und Legion, Betreff: nachtwerk
moin du sack ^^
lese http://www.sb-innovation.de/showthread.php?threadid=32804
aprpops ^^ ganzen august std frei :lol:
lg
niceee :lol:
wir arbeiten akteull an einer neun source, kein nv kein tebdev oder ts2 source, eine komplett neue :-D
Auf Php7 :yahoo:
https://bc-reloaded.net/BitCity/bitbucket/0d531ff27ddec32cd98044ab34cd7f17.jpg
und scheiß sowieso auf Tiara und co :lol:
Hier noch der obligatorische (zensierte [damit das Geheule nicht gleich wieder losgeht]) Auszug der Benutzertabelle. Es sind allerdings nur knapp über 2k Datensätze, was natürlich etwas mager ist. Damit haben wir aber auch gleich mal die Userzahl festgestellt.
ID
ip
email
added
class
username
passhash
18750
188.101.*
habenixda@***.de
06.03.2013 16:03:06
5
Rick
1de6966a24ae2d8472d248d0fb2ed019
18751
109.44.*
ajagroup@*.com
01.12.2012 19:55:42
91
Logitech
e098a1fd4f9064ff963d2f5bb5eebee3
18754
37.187.*
ajagroup@*.ai
16.12.2012 08:40:56
16
TorrentWirt
b376473c9a54407473134814caf38d3c
18755
37.48.*
23thstreet@*.com
16.12.2012 11: 01:36
18
23thStreet
371a3e20b30e435e38a4d7a8891fd642
18756
193.73.*
moonspell@*.com
16.12.2012 17:57:07
5
moonspell
fa32d125e34ba937c2c3b87d469e7295
18758
80.226.*
kong@*.org
25.12.2012 14:48:59
1
Kong
af99f1558adc2c367d54e67c6cd25303
18761
193.159.*
ba*@arcor.de
30.12.2012 21:24:57
5
Wraxx
13618e2bc0605cba3a20034a3cb54b5e
18765
37.187.*
paul*19*@*.com
05.01.2013 12: 27:49
5
4OG
bbbdee373fc9c6049db47dddfa7c106a
18767
91.66.*
com*_b241k@gmx.de
09.01.2013 20:52:31
1
b241k
75b0a19018ba5987d18e593f4d34ec72
18772
94.23.*
wtf-*@*.de
18.01.2013 18:44:10
5
Sinus
4813b80729917e976c4c06f3d32a20a9
18783
178.201.*
nep*34@*.de
03.02.2013 16:36:14
5
AgF37
62963cb19d816f4bdc8bc9b807353416
18784
78.52.*
toyotagirl*@*.de
08.02.2013 23:21:41
4
toyotagirl
0afec73fa855371ecefda951f4425bd1
18786
77.13.*
dj_st*@*.de
09.02.2013 11:37:15
5
Derw
5d1ac45d54a45494ab19dd1d7e5ba996
18787
88.150.*
matz*@*.de
09.02.2013 11:44:37
4
Matarius
109c144ad6b1937322a548303ab28ac7
Hier noch zwei Screens von der neuen Beta-Source an der gearbeitet wird. Ich weiß nicht, ob diese schon veröffentlicht wurden oder nicht. Ich poste sie trotzdem mal. Design sieht schon mal 0815 aus, Bootstrap lässt grüßen (auch wenn ich schon schlimmeres gesehen habe). Mir ist auch unklar, wieso die Leute immer der Meinung sind, eine eigene Source schreiben zu müssen. Es gibt genügend vernünftige Sourcen, die mit etwas Feintuning durchaus zu gebrauchen sind. Aber bitte, wenn man die Zeit und sonst nichts besseres zu tun hat…
https://www.sb-innovation.de/attachment.php?attachmentid=16966
https://www.sb-innovation.de/attachment.php?attachmentid=16965
Fazit
Kurz und knapp: Durchgefallen. Der Staff macht sich über andere Tracker lustig die gehackt wurden, schert sich aber selber nicht im geringsten um die eigene Sicherheit und somit um die Sicherheit der eigenen Benutzer. Das ist gleich in doppelter Hinsicht extrem unprofessionell und amateurhaft. Mit Freude erwarte ich die neue Beta-Source. Mit diesen Worten gebe ich zurück ins Studio. Nächster Halt: gods.lu ;)
http://www.sb-innovation.de/attachment.php?attachmentid=15436
Source: NV-Source
Hier sind wir wieder, mit einer neuen Ausgabe unserer berühmt berüchtigten Security-Reviews. :P
Heute hat es den Tracker BitCity-Reloaded erwischt. Ob es tatsächlich ein offizieller Nachfolger vom damaligen BitCity-Tracker ist, weiß ich nicht genau. Falls ja, sind die Verantwortlichen von damals jedenfalls nicht mehr am Ruder. Auch dieses Review wird wieder die eine oder andere Überraschung für euch parat haben.
Serversicherheit
OS: Linux, Debian 6
MAIL: Postfix, Dovecot
WWW: nginx/0.7.67, lighttpd 1.4.28
SSH: OpenSSH 5.5p1 Debian 6+squeeze5
Der Serverstandort in Moldavien ist gut, der Rest weniger. Zwei verschiedene Webserverversionen die beide bekannte Lücken haben sowie drei offene RPC Ports auf die ich, im Interesse der Seite, nicht näher eingehe. Die Notwendigkeit eines kompletten Mailservers für einen Tracker ist ebenfalls fraglich. Hinweise auf eine Firewall gab es keine.
Alles in allem kein guter Eindruck, da unnötig viele Angriffspunkte gegeben werden und auch noch Software mit bekannten Schwachstellen Verwendung findet.
Trackersicherheit
Es gibt wieder mindestens eine bekannte Standardlücke, mit der man vollen Zugriff auf die Datenbank erhält. Es ist mittlerweile schon fast langweilig, weil fast alle Tracker die gleichen Sourcen mit den gleichen Lücken benutzen. Besonders amüsant ist ein Schriftwechsel zwischen Logitech (Sysop) und Legion (User), in dem sich über den Tracker „Nachtwerk“ lustig gemacht wird und dem stattgefundenen Hack von mir. Was für eine Ironie. Damit die Allgemeinheit auch etwas davon hat, folgt der PN-Verkehr zwischen den beiden.
PN-Wechsel zwischen Logitech und Legion, Betreff: nachtwerk
moin du sack ^^
lese http://www.sb-innovation.de/showthread.php?threadid=32804
aprpops ^^ ganzen august std frei :lol:
lg
niceee :lol:
wir arbeiten akteull an einer neun source, kein nv kein tebdev oder ts2 source, eine komplett neue :-D
Auf Php7 :yahoo:
https://bc-reloaded.net/BitCity/bitbucket/0d531ff27ddec32cd98044ab34cd7f17.jpg
und scheiß sowieso auf Tiara und co :lol:
Hier noch der obligatorische (zensierte [damit das Geheule nicht gleich wieder losgeht]) Auszug der Benutzertabelle. Es sind allerdings nur knapp über 2k Datensätze, was natürlich etwas mager ist. Damit haben wir aber auch gleich mal die Userzahl festgestellt.
ID
ip
added
class
username
passhash
18750
188.101.*
habenixda@***.de
06.03.2013 16:03:06
5
Rick
1de6966a24ae2d8472d248d0fb2ed019
18751
109.44.*
ajagroup@*.com
01.12.2012 19:55:42
91
Logitech
e098a1fd4f9064ff963d2f5bb5eebee3
18754
37.187.*
ajagroup@*.ai
16.12.2012 08:40:56
16
TorrentWirt
b376473c9a54407473134814caf38d3c
18755
37.48.*
23thstreet@*.com
16.12.2012 11: 01:36
18
23thStreet
371a3e20b30e435e38a4d7a8891fd642
18756
193.73.*
moonspell@*.com
16.12.2012 17:57:07
5
moonspell
fa32d125e34ba937c2c3b87d469e7295
18758
80.226.*
kong@*.org
25.12.2012 14:48:59
1
Kong
af99f1558adc2c367d54e67c6cd25303
18761
193.159.*
ba*@arcor.de
30.12.2012 21:24:57
5
Wraxx
13618e2bc0605cba3a20034a3cb54b5e
18765
37.187.*
paul*19*@*.com
05.01.2013 12: 27:49
5
4OG
bbbdee373fc9c6049db47dddfa7c106a
18767
91.66.*
com*_b241k@gmx.de
09.01.2013 20:52:31
1
b241k
75b0a19018ba5987d18e593f4d34ec72
18772
94.23.*
wtf-*@*.de
18.01.2013 18:44:10
5
Sinus
4813b80729917e976c4c06f3d32a20a9
18783
178.201.*
nep*34@*.de
03.02.2013 16:36:14
5
AgF37
62963cb19d816f4bdc8bc9b807353416
18784
78.52.*
toyotagirl*@*.de
08.02.2013 23:21:41
4
toyotagirl
0afec73fa855371ecefda951f4425bd1
18786
77.13.*
dj_st*@*.de
09.02.2013 11:37:15
5
Derw
5d1ac45d54a45494ab19dd1d7e5ba996
18787
88.150.*
matz*@*.de
09.02.2013 11:44:37
4
Matarius
109c144ad6b1937322a548303ab28ac7
Hier noch zwei Screens von der neuen Beta-Source an der gearbeitet wird. Ich weiß nicht, ob diese schon veröffentlicht wurden oder nicht. Ich poste sie trotzdem mal. Design sieht schon mal 0815 aus, Bootstrap lässt grüßen (auch wenn ich schon schlimmeres gesehen habe). Mir ist auch unklar, wieso die Leute immer der Meinung sind, eine eigene Source schreiben zu müssen. Es gibt genügend vernünftige Sourcen, die mit etwas Feintuning durchaus zu gebrauchen sind. Aber bitte, wenn man die Zeit und sonst nichts besseres zu tun hat…
https://www.sb-innovation.de/attachment.php?attachmentid=16966
https://www.sb-innovation.de/attachment.php?attachmentid=16965
Fazit
Kurz und knapp: Durchgefallen. Der Staff macht sich über andere Tracker lustig die gehackt wurden, schert sich aber selber nicht im geringsten um die eigene Sicherheit und somit um die Sicherheit der eigenen Benutzer. Das ist gleich in doppelter Hinsicht extrem unprofessionell und amateurhaft. Mit Freude erwarte ich die neue Beta-Source. Mit diesen Worten gebe ich zurück ins Studio. Nächster Halt: gods.lu ;)
http://www.sb-innovation.de/attachment.php?attachmentid=15436