PDA

View Full Version : Unsafe World of Tomorrow (WoT)



Rebound
18.09.17, 21:42
Tracker: World of Tomorrow (WoT) (https://word-of-tomorrow.eu)
Source: NV-Source Derivat

Wieso die Domain "WORD-of-tomorrow" heißt und nicht "WORLD-of-tomorrow" wie der Trackername, wird wohl ein Geheimnis der Trackerbetreiber bleiben. Jedenfalls sieht allein das schon alles andere als professionell aus. :tongue:

Serversicherheit

OS: Linux, Debian
DB: MySQL 5.x
SMTP: Postfix
Webserver: Apache
SSH: OpenSSH_6.7p1 Debian-5+deb8u3

SSH läuft natürlich am Standardport. Login ist zwar nur via Key möglich, allerdings hielten die Verantwortlichen es wohl für überflüssig, den Port zu ändern. Wieso ein Mail-Server auf Port 25 laufen muss bleibt hier ebenfalls fraglich. Ein simples HTML-Formular was Nachrichten an den Staff weiterleitet dürfte es wohl auch tun. An dieser Stelle haben wir dann auch direkt die Tests am Server eingestellt. Das allererste was man bei einem frischen Server ändert, ist der SSH-Port. Dies wurde hier offenbar nicht für notwendig gehalten. Den restlichen Zustand des Servers kann man sich da schnell zusammenreimen.

Trackersicherheit

Bereits ohne überhaupt eingeloggt gewesen zu sein, konnten wir MySQL-Fehler produzieren. Mit etwas Geduld ist es wahrscheinlich möglich, den Tracker zu hacken, ohne überhaupt einen Account zu besitzen. Aus zeitlichen Gründen haben wir dies aber nicht weiter verfolgt. Zwar sind einige gängige Sicherheitslücken der NV-Source geschlossen gewesen, allerdings nicht alle. Dadurch war es nicht besonders schwierig, die Datenbank zu entführen.
Zum Schluss wie immer ein paar Auszüge aus der Datenbank.

Datenbanken


information_schema
MonCho
mysql
performance_schema
phpmyadmin


Auszug aus der Benutzertabelle



id
username
class
ip
added
email
passkey


1
Waitinghill
49
217.95.*.*
2017-03-19 16:44:19
waitinghill@*.de
adb85e6fa3aa841


2
moncho
90
188.210.*.*
2017-03-19 16:45:16
ka*@myquix.de
07ebd874321ba36


3
Thor
99
109.47.*.*
2017-03-19 16:52:22
mau*@web.de
32715c52d7ff789


4
Cindy
90
79.254.*.*
2017-03-19 18:58:35
cindy@word-of-tomorrow.eu
b3f700bb00e8e3f


5
H3rakl3s
70
90.146.*.*
2017-03-19 19:26:26
H3rakl3s@*.*
53c2efce7c8a90b


6
Testuser
0
79.254.*.*
2017-03-21 16:32:46
mau*@web.de
7fccae671f757a9


7
Disaster
49
91.3.*.*
2017-03-22 21:57:31
kow*@googelmail.com
06a8e31a7eb5092


8
Hexe
15
176.198.*.*
2017-03-28 19:16:05
na*@hotmail.de
2ada51565422f4e


9
MaTo2
49
88.152.*.*
2017-03-28 20:14:23
mat*@*.de
3e68ec32150c082


10
Sandmann
15
31.17.*.*
2017-03-28 20:35:17
ml*@gmx.net
d1ccf352265d926



Fazit

Der Server ist schlecht konfiguriert und die NV-Source nicht gut (oder gar nicht?) gewartet. Ein Zugriff auf die Datenbank kann über mehrere Stellen erfolgen und wirft ein schlechtes Bild auf die Verantwortlichen.


http://www.sb-innovation.de/attachment.php?attachmentid=15436

Jodito
18.09.17, 23:54
Warum bin ich jetzt nicht überrascht? :rolleyes:

flitzepo
26.09.17, 15:31
Also meiner Inforation nach hat sich der Coder dieser Seite dem Problem angenommen und will oder hat sich mit Rebound in Verbindung gesetzt,sowas gibt von mir persönlich eine DAUMEN HOCH. Wenn man so eine Security Review ernst nimmt zeugt davon das da ein bisschen Leidenschaft und Verantwortungsgefühl mit im Spiel ist …mal abwarten was wird
LG

Sh4d0wL3x
30.09.17, 20:16
Hat jemand was anderes erwartet? Bei einem Coder der die Source nur geklaut hat und nicht mal weiß wie sie funktioniert? :D Selten so nen schlechten Programmierer wie Thor gesehen, wobei man Ihn so nicht mal nennen dürfte, ist ja ne Beleidigung für alle die es können.

Aber mit dem Tracker wird er noch sein großes Erwachen haben :D

flitzepo
01.10.17, 21:13
Aber mit dem Tracker wird er noch sein großes Erwachen haben :D

Klingt ja fast schon wie eine Drohung, aber ich bin der ansicht jeder hat mal klein angefangen ....
Leben und Leben lassen mal sehn was wie es sich entwickelt

in diesem Sinne
LG

Darkman1965
01.10.17, 22:56
Leben und Leben lassen mal sehn was wie es sich entwickelt !!!!!!!

ist nichts gegen zu sagen """ Aber""" erst die Sicherheit im Griff haben und dann den Tracker öffnen für die User das würde mehr Sinn machen. Die source ist ja wie die von KW "fast" 1:1 übernommen worden . Die waren ja dort ehemalige Teammember..

Done

ImperaThor
17.10.17, 19:20
Wir arbeiten an dem Problem und werden uns explizit mit der Serversicherheit weiter beschaffen um gewisse Dinge in Zukunft zu vermeiden und diese ausmerzen zu können!
Vielen Dank an diejenigen die unsere Source getestet haben und uns auf gewisse Sicherheitslücken hingewiesen haben!
Wir sind schon in einigen Dingen tätig geworden, allerdings benötigt der Feinschliff noch seine Zeit!
Sollte wir mit unseren Ergebnis zufrieden sein, werden wir auch als "safe" deklariert werden, denn das ist unser Ziel!

Jodito
17.10.17, 21:00
Bleibt im Prinzip nur die Frage warum man dann nicht solange von Netz geht wenn man weiß das man Unsafe ist.

Instab
18.10.17, 06:17
Sollte wir mit unseren Ergebnis zufrieden sein, werden wir auch als "safe" deklariert werden
nicht ganz. ein "safe" hängt davon ab ob wir zufrieden sind :P

ImperaThor
05.03.18, 22:16
Wir blieben ruhig, haben hier und da noch was auszubessern, aber unsere Datenbank ist nicht mehr einsehbar!

tekken98
22.09.18, 15:30
huhu kann das sein das der schon nicht mehr on ist?? habe mal auf den link gedrückt aber da kam bei mir nur seite nicht gefunden?!

amseline
24.09.18, 13:22
wird gerade umgebaut, kommt wieder.:klatsch_3:

ImperaThor
24.09.18, 18:13
Heute ist nicht alle Tage, wir kommen wieder keine Frage!
Wir versuchen bis Ende dieser Woche wieder online zu kommen, wir starten aber keine hauruck Aktion um schnell wieder online zu kommen, sondern müssen viel anpassen und optimieren.
Es wird eine andere Source geben, da unsere einfach zu sehr am Zahn der Zeit genagt hat!
Alle die bei uns eine erreichbare e-Mail addy angegeben haben, werden bald darüber informiert, wie es weiter geht!
Wer eine fake-email angegeben hat und versucht über die Recovery Funktion reinzukommen, dem wird die Rückkehr verwehrt!(es wurde oft genug darauf hingewiesen und Tipps gegeben)
Unsere Registrierung bleibt auch nach dem Source-Wechsel geschlossen!
Und wie immer gilt:

Wär Rächtschraibfähla findet, darf sie behalten tun!

Tortienator
26.09.18, 10:31
Hallo ihr lieben,

wir sind nun mit einer neuen Source wieder online. Da leider unsere Datenbank mit der neuen Source nicht Kompatibel ist, musst du dich leider neu Registrieren.
Bei der Registrierung gibst du bitte einen Secure Code nach deiner Wahl ein, der ist dann festgelegt und wird bei jedem Login Abgefragt.
Wir werden die User-States, also deinen Up –und Download Händisch anpassen, dass natürlich etwas dauern wird. Die Files, die vorhanden waren, konnten leider auch nicht mit übernommen werden und somit müssen wir leider wieder von 0 anfangen.
Im Moment ist die Source noch Standard, da wird in nächster Zeit noch der Style usw. Angepasst werden (so wie es jetzt ist, gefällt es mir gar nicht).
Die Torrent Ansicht auf der Startseite, kannst du in deinem Profil von Ajax auf NV ändern, ich Persönlich finde die NV besser.
Wir freuen uns, euch wieder bei uns begrüßen zu dürfen.

Euer WoT-Team

Ich werde mich da nicht wieder reggen.
Die Leute da sollten Tomaten züchten oder sowas, und die Hände vom Tracker coden lassen.
Soviel Theater und Downtimes wie es da wegen Unvermögen schon gab ist nicht mehr feierlich.
Die User sollten versuchen was beim TS oder ähnlichen Trackern zu bekommen oder ganz die Finger davon lassen.

Instab
27.09.18, 00:06
Da leider unsere Datenbank mit der neuen Source nicht Kompatibel ist, musst du dich leider neu Registrieren.

Die Files, die vorhanden waren, konnten leider auch nicht mit übernommen werden
oder anders ausgedrückt: die betreiber haben keine ahnung von dem was sie tun.

Rebound
28.01.19, 18:15
Hier geht's weiter: https://www.sb-innovation.de/showthread.php?34033-World-of-Tomorrow-(Recheck)