Rebound
12.03.19, 21:54
Tracker: The Movie Cave (https://www.the-movie-cave.eu)
Source: NetVision by BonkeR
Im Rahmen unserer TOG-Reviews haben wir The Movie Cave etwas eingehender untersucht.
Serversicherheit
OS: Linux, Debian 8
Webserver: Apache
PHP: 5.6.39
SSH: OpenSSH 6.7p1 Debian-5+deb8u7
Es gibt keine überflüssigen offenen Ports und SSH findet sich ebenfalls nicht auf dem Standardport. Eine Firewall konnten wir nicht feststellen. Falls eine existiert, ist sie in ihrer derzeitigen Konfiguration nicht effektiv genug.
Erwähnen muss man an dieser Stelle noch den Serverstandort OVH in Frankreich. Als direktes Nachbarland und mit guten bilateralen Beziehungen zwischen Frankreich und Deutschland, ist der Standort kaum sicherer als Deutschland selber. Zudem hat sich OVH als Hoster für Tracker in der Vergangenheit nicht besonders bewährt.
Trackersicherheit
Hier wurde mal wieder blind irgendeine Tracker-Source installiert und davon ausgegangen, dass sie keine Lücken enthält. Insbesondere im deutschen Raum sollte man langsam wissen, dass dem fast nie so ist und man sich darauf auf keinen Fall verlassen darf.
Genau das ist diesem Tracker zum Verhängnis geworden. Es sind einige gängige Sicherheitslücken zu finden, die unter anderem Zugriff auf die Datenbank ermöglichen. Proofs im Anschluss.
Ebenfalls zu finden ist eine alte login.php, die man ohne Weiteres herunterladen kann (im Anhang). Das ist zwar kein Sicherheitsproblem, vorkommen sollte sowas allerdings trotzdem nicht.
Proofs
Datenbanken
information_schema
T-M-C-SOURCE
Auszug Benutzertabelle
id
username
class
ip
added
email
passhash
1
Waitinghill
8
51.38.*.*
2015-02-08 11: 01:32
hat-keine@*.de
3eea216288ed943a97c22518e85edafe
1846
Salomee
104
80.155.*.*
2018-05-04 17:11:11
unilady@*.de
1d4a556f092a3a212ac6c28480c90290
1847
Luzifer
104
176.198.*.*
2018-05-04 17:14:10
tyson*@web.de
87066763918827e06b4b45fc6ef87d3d
1848
hammer
105
91.10.*.*
2018-05-04 20:31:53
*hammer@online.de
5a92965cc883c94f6c176cfb71ec70a1
1849
hessentroll
9
90.187.*.*
2018-05-06 17:37:48
hab_*@web.de
48beda8aab5163dbef3f65186acde009
1850
Kammy
110
212.183.*.*
2018-05-07 18:54:34
ka*1@gmx.at
d530c0139145c0235048a74a0a794950
1863
Phoenix
9
109.40.*.*
2018-05-10 10:15:19
turm22@*.de
5cf899eec95d62dfccd30869c6aebfa8
1864
Chowa
8
91.34.*.*
2018-05-10 10:26:13
chowa@*.de
1ad19c3c509a7736f6965d23e7943fb5
1865
A.J
4
188.102.*.*
2018-05-10 10:40:35
mel*@yahoo.de
446d6b2810351e2307dc8f77914fe314
1868
Kuchen
6
37.4.*.*
2018-05-10 20:28:29
timi*1@web.de
4d27cfb84f84bc783550886dfd7753ef
Fazit
Der Server ist mehr oder weniger in Ordnung, der Tracker leider überhaupt nicht. Es gibt mehrere Sicherheitslücken und ein Zugriff auf die Datenbank war in kürzester Zeit möglich. In diesem Zustand sollte kein Tracker online sein und stellt so eine Gefahr für sich und seine User dar. Daher hier ein dickes Unsafe.
http://www.sb-innovation.de/attachment.php?attachmentid=15436
Source: NetVision by BonkeR
Im Rahmen unserer TOG-Reviews haben wir The Movie Cave etwas eingehender untersucht.
Serversicherheit
OS: Linux, Debian 8
Webserver: Apache
PHP: 5.6.39
SSH: OpenSSH 6.7p1 Debian-5+deb8u7
Es gibt keine überflüssigen offenen Ports und SSH findet sich ebenfalls nicht auf dem Standardport. Eine Firewall konnten wir nicht feststellen. Falls eine existiert, ist sie in ihrer derzeitigen Konfiguration nicht effektiv genug.
Erwähnen muss man an dieser Stelle noch den Serverstandort OVH in Frankreich. Als direktes Nachbarland und mit guten bilateralen Beziehungen zwischen Frankreich und Deutschland, ist der Standort kaum sicherer als Deutschland selber. Zudem hat sich OVH als Hoster für Tracker in der Vergangenheit nicht besonders bewährt.
Trackersicherheit
Hier wurde mal wieder blind irgendeine Tracker-Source installiert und davon ausgegangen, dass sie keine Lücken enthält. Insbesondere im deutschen Raum sollte man langsam wissen, dass dem fast nie so ist und man sich darauf auf keinen Fall verlassen darf.
Genau das ist diesem Tracker zum Verhängnis geworden. Es sind einige gängige Sicherheitslücken zu finden, die unter anderem Zugriff auf die Datenbank ermöglichen. Proofs im Anschluss.
Ebenfalls zu finden ist eine alte login.php, die man ohne Weiteres herunterladen kann (im Anhang). Das ist zwar kein Sicherheitsproblem, vorkommen sollte sowas allerdings trotzdem nicht.
Proofs
Datenbanken
information_schema
T-M-C-SOURCE
Auszug Benutzertabelle
id
username
class
ip
added
passhash
1
Waitinghill
8
51.38.*.*
2015-02-08 11: 01:32
hat-keine@*.de
3eea216288ed943a97c22518e85edafe
1846
Salomee
104
80.155.*.*
2018-05-04 17:11:11
unilady@*.de
1d4a556f092a3a212ac6c28480c90290
1847
Luzifer
104
176.198.*.*
2018-05-04 17:14:10
tyson*@web.de
87066763918827e06b4b45fc6ef87d3d
1848
hammer
105
91.10.*.*
2018-05-04 20:31:53
*hammer@online.de
5a92965cc883c94f6c176cfb71ec70a1
1849
hessentroll
9
90.187.*.*
2018-05-06 17:37:48
hab_*@web.de
48beda8aab5163dbef3f65186acde009
1850
Kammy
110
212.183.*.*
2018-05-07 18:54:34
ka*1@gmx.at
d530c0139145c0235048a74a0a794950
1863
Phoenix
9
109.40.*.*
2018-05-10 10:15:19
turm22@*.de
5cf899eec95d62dfccd30869c6aebfa8
1864
Chowa
8
91.34.*.*
2018-05-10 10:26:13
chowa@*.de
1ad19c3c509a7736f6965d23e7943fb5
1865
A.J
4
188.102.*.*
2018-05-10 10:40:35
mel*@yahoo.de
446d6b2810351e2307dc8f77914fe314
1868
Kuchen
6
37.4.*.*
2018-05-10 20:28:29
timi*1@web.de
4d27cfb84f84bc783550886dfd7753ef
Fazit
Der Server ist mehr oder weniger in Ordnung, der Tracker leider überhaupt nicht. Es gibt mehrere Sicherheitslücken und ein Zugriff auf die Datenbank war in kürzester Zeit möglich. In diesem Zustand sollte kein Tracker online sein und stellt so eine Gefahr für sich und seine User dar. Daher hier ein dickes Unsafe.
http://www.sb-innovation.de/attachment.php?attachmentid=15436