PDA

View Full Version : Unsafe Luzifers Fallen Angel



Rebound
14.03.19, 21:22
Tracker: Luzifers Fallen Angel (https://lfa.sytes.net/index.php)
Source: NV-Source

Im Rahmen unserer TOG-Reviews haben wir Luzifers Fallen Angel etwas eingehender untersucht.


Serversicherheit

OS: Linux, Debian 8
Webserver: Apache 2.4.10
SSH: OpenSSH 6.7p1 Debian 5+deb8u7
MySQL: 5.5.62

SSH liegt nicht auf dem Standardport, dafür allerdings Webmin. Die Apache Version ist von 2014 und sollte mal aktualisiert werden. Die Liste der Exploits ist lang: https://www.cvedetails.com/vulnerability-list/vendor_id-45/product_id-66/version_id-177881/Apache-Http-Server-2.4.10.html.
Eine Firewall konnten wir nicht feststellen. Falls eine existiert, ist sie in ihrer derzeitigen Konfiguration nicht effektiv genug.

Erwähnen muss man an dieser Stelle noch den Serverstandort OVH in Frankreich. Als direktes Nachbarland und mit guten bilateralen Beziehungen zwischen Frankreich und Deutschland, ist der Standort kaum sicherer als Deutschland selber. Zudem hat sich OVH als Hoster für Tracker in der Vergangenheit nicht besonders bewährt.


Trackersicherheit

Wir waren kurz davor schon aufzugeben, weil der Tracker sowas von kaputt ist, dass man kaum navigieren kann. Wir haben es dann einfach gelassen und ein paar unserer Standard-Scans drüberlaufen lassen. Dies hat schon völlig ausgereicht, um mehrere Lücken ausfindig zu machen. Wir haben auch hier auf weitere Proofs verzichtet, da wir keine Lust hatten in den Datenbanken rumzustochern, bis wir irgendwann mal die richtige für den Tracker gefunden haben.
Erwähnen muss man auch hier eine völlig fehlerhafte Konfiguration von Webserver und Datenbank. Teilweise ging gar nichts mehr, obwohl wir noch relativ human getestet haben. Es gab dann auch so eine hübsche Fehlermeldung wie man sie seit 1995 nicht mehr sieht. :P

https://www.sb-innovation.de/attachment.php?attachmentid=19902

Proof

Datenbanken

bastel2
black
information_schema
mysql
performance_schema
phpmyadmin
ttt
waiti
wogbackup
wogtt1
wogtt2



Fazit

Der Trackerbetreiber hat uns zwar freundlicherweise einen Account zum Testen zur Verfügung gestellt, am Ergebnis ändert das aber wenig.
Satz mit X, das war wohl nichts.


https://www.sb-innovation.de/attachment.php?attachmentid=15436

SerienFreak
31.03.19, 21:47
Sind unter neuem Namen da scheint sich aber nichts geändert zu haben

iAwesome
19.04.19, 14:47
Wenn ich jetzt die URL aufrufe, komme ich auf WOG was zu den wogbackup, wogtt1. wogtt2 einträgen passen würde.

Mir wurde von einem Partner gesagt, sie sind jetzt "Data-Ocean"

Bluesteel
19.04.19, 14:59
Also unter der Domain ist nun eine ttt source zu erreichen.

qnr
18.04.20, 18:50
Tot? Nur down?