Rebound
18.09.17, 21:42
Tracker: World of Tomorrow (WoT) (https://word-of-tomorrow.eu)
Source: NV-Source Derivat
Wieso die Domain "WORD-of-tomorrow" heißt und nicht "WORLD-of-tomorrow" wie der Trackername, wird wohl ein Geheimnis der Trackerbetreiber bleiben. Jedenfalls sieht allein das schon alles andere als professionell aus. :tongue:
Serversicherheit
OS: Linux, Debian
DB: MySQL 5.x
SMTP: Postfix
Webserver: Apache
SSH: OpenSSH_6.7p1 Debian-5+deb8u3
SSH läuft natürlich am Standardport. Login ist zwar nur via Key möglich, allerdings hielten die Verantwortlichen es wohl für überflüssig, den Port zu ändern. Wieso ein Mail-Server auf Port 25 laufen muss bleibt hier ebenfalls fraglich. Ein simples HTML-Formular was Nachrichten an den Staff weiterleitet dürfte es wohl auch tun. An dieser Stelle haben wir dann auch direkt die Tests am Server eingestellt. Das allererste was man bei einem frischen Server ändert, ist der SSH-Port. Dies wurde hier offenbar nicht für notwendig gehalten. Den restlichen Zustand des Servers kann man sich da schnell zusammenreimen.
Trackersicherheit
Bereits ohne überhaupt eingeloggt gewesen zu sein, konnten wir MySQL-Fehler produzieren. Mit etwas Geduld ist es wahrscheinlich möglich, den Tracker zu hacken, ohne überhaupt einen Account zu besitzen. Aus zeitlichen Gründen haben wir dies aber nicht weiter verfolgt. Zwar sind einige gängige Sicherheitslücken der NV-Source geschlossen gewesen, allerdings nicht alle. Dadurch war es nicht besonders schwierig, die Datenbank zu entführen.
Zum Schluss wie immer ein paar Auszüge aus der Datenbank.
Datenbanken
information_schema
MonCho
mysql
performance_schema
phpmyadmin
Auszug aus der Benutzertabelle
id
username
class
ip
added
email
passkey
1
Waitinghill
49
217.95.*.*
2017-03-19 16:44:19
waitinghill@*.de
adb85e6fa3aa841
2
moncho
90
188.210.*.*
2017-03-19 16:45:16
ka*@myquix.de
07ebd874321ba36
3
Thor
99
109.47.*.*
2017-03-19 16:52:22
mau*@web.de
32715c52d7ff789
4
Cindy
90
79.254.*.*
2017-03-19 18:58:35
cindy@word-of-tomorrow.eu
b3f700bb00e8e3f
5
H3rakl3s
70
90.146.*.*
2017-03-19 19:26:26
H3rakl3s@*.*
53c2efce7c8a90b
6
Testuser
0
79.254.*.*
2017-03-21 16:32:46
mau*@web.de
7fccae671f757a9
7
Disaster
49
91.3.*.*
2017-03-22 21:57:31
kow*@googelmail.com
06a8e31a7eb5092
8
Hexe
15
176.198.*.*
2017-03-28 19:16:05
na*@hotmail.de
2ada51565422f4e
9
MaTo2
49
88.152.*.*
2017-03-28 20:14:23
mat*@*.de
3e68ec32150c082
10
Sandmann
15
31.17.*.*
2017-03-28 20:35:17
ml*@gmx.net
d1ccf352265d926
Fazit
Der Server ist schlecht konfiguriert und die NV-Source nicht gut (oder gar nicht?) gewartet. Ein Zugriff auf die Datenbank kann über mehrere Stellen erfolgen und wirft ein schlechtes Bild auf die Verantwortlichen.
http://www.sb-innovation.de/attachment.php?attachmentid=15436
Source: NV-Source Derivat
Wieso die Domain "WORD-of-tomorrow" heißt und nicht "WORLD-of-tomorrow" wie der Trackername, wird wohl ein Geheimnis der Trackerbetreiber bleiben. Jedenfalls sieht allein das schon alles andere als professionell aus. :tongue:
Serversicherheit
OS: Linux, Debian
DB: MySQL 5.x
SMTP: Postfix
Webserver: Apache
SSH: OpenSSH_6.7p1 Debian-5+deb8u3
SSH läuft natürlich am Standardport. Login ist zwar nur via Key möglich, allerdings hielten die Verantwortlichen es wohl für überflüssig, den Port zu ändern. Wieso ein Mail-Server auf Port 25 laufen muss bleibt hier ebenfalls fraglich. Ein simples HTML-Formular was Nachrichten an den Staff weiterleitet dürfte es wohl auch tun. An dieser Stelle haben wir dann auch direkt die Tests am Server eingestellt. Das allererste was man bei einem frischen Server ändert, ist der SSH-Port. Dies wurde hier offenbar nicht für notwendig gehalten. Den restlichen Zustand des Servers kann man sich da schnell zusammenreimen.
Trackersicherheit
Bereits ohne überhaupt eingeloggt gewesen zu sein, konnten wir MySQL-Fehler produzieren. Mit etwas Geduld ist es wahrscheinlich möglich, den Tracker zu hacken, ohne überhaupt einen Account zu besitzen. Aus zeitlichen Gründen haben wir dies aber nicht weiter verfolgt. Zwar sind einige gängige Sicherheitslücken der NV-Source geschlossen gewesen, allerdings nicht alle. Dadurch war es nicht besonders schwierig, die Datenbank zu entführen.
Zum Schluss wie immer ein paar Auszüge aus der Datenbank.
Datenbanken
information_schema
MonCho
mysql
performance_schema
phpmyadmin
Auszug aus der Benutzertabelle
id
username
class
ip
added
passkey
1
Waitinghill
49
217.95.*.*
2017-03-19 16:44:19
waitinghill@*.de
adb85e6fa3aa841
2
moncho
90
188.210.*.*
2017-03-19 16:45:16
ka*@myquix.de
07ebd874321ba36
3
Thor
99
109.47.*.*
2017-03-19 16:52:22
mau*@web.de
32715c52d7ff789
4
Cindy
90
79.254.*.*
2017-03-19 18:58:35
cindy@word-of-tomorrow.eu
b3f700bb00e8e3f
5
H3rakl3s
70
90.146.*.*
2017-03-19 19:26:26
H3rakl3s@*.*
53c2efce7c8a90b
6
Testuser
0
79.254.*.*
2017-03-21 16:32:46
mau*@web.de
7fccae671f757a9
7
Disaster
49
91.3.*.*
2017-03-22 21:57:31
kow*@googelmail.com
06a8e31a7eb5092
8
Hexe
15
176.198.*.*
2017-03-28 19:16:05
na*@hotmail.de
2ada51565422f4e
9
MaTo2
49
88.152.*.*
2017-03-28 20:14:23
mat*@*.de
3e68ec32150c082
10
Sandmann
15
31.17.*.*
2017-03-28 20:35:17
ml*@gmx.net
d1ccf352265d926
Fazit
Der Server ist schlecht konfiguriert und die NV-Source nicht gut (oder gar nicht?) gewartet. Ein Zugriff auf die Datenbank kann über mehrere Stellen erfolgen und wirft ein schlechtes Bild auf die Verantwortlichen.
http://www.sb-innovation.de/attachment.php?attachmentid=15436