Rebound
19.05.19, 19:39
Tracker: The Crazy Ones (https://the-crazy-ones.eu)
Source: NetVision
Nachdem der Tracker Luzifers Fallen Angel bei unserem Security-Review durchgefallen (https://www.sb-innovation.de/showthread.php?34079-Luzifers-Fallen-Angel) war, haben die Betreiber nun einen neuen Tracker mit neuem Namen und neuer Source aufgesetzt.
Serversicherheit
OS: Linux, Debian 9.0
Webserver: Apache 2.4.25
MySQL: 5.7.26
Neben dem Webserver Apache gibt es noch ein paar offene Ports für SHOUTcast und einen für Teamspeak 3. SMTP läuft dort ebenfalls, der Eingangsport 25 ist allerdings geschlossen. Ein Port für SSH findet sich gar nicht. Server ist deshalb soweit in Ordnung.
Für die Firewall gilt das Gleiche wie bei den meisten anderen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.
Als Geolocation Kanada auszuwählen ist zumindest besser als Frankreich, aber da hier wieder OVH benutzt wird, ist es nur eine geringfügige Verbesserung.
Trackersicherheit
Auch die neue Source enthält gravierende Sicherheitsprobleme. In diesem Punkt also keinerlei Verbesserung zum vorherigen Review.
Proofs aus dem Staffpanel
https://www.sb-innovation.de/attachment.php?attachmentid=20067
https://www.sb-innovation.de/attachment.php?attachmentid=20068
https://www.sb-innovation.de/attachment.php?attachmentid=20069
https://www.sb-innovation.de/attachment.php?attachmentid=20070
https://www.sb-innovation.de/attachment.php?attachmentid=20071
https://www.sb-innovation.de/attachment.php?attachmentid=20072
https://www.sb-innovation.de/attachment.php?attachmentid=20073
https://www.sb-innovation.de/attachment.php?attachmentid=20074
https://www.sb-innovation.de/attachment.php?attachmentid=20075
Fazit
Mit neuem Namen und neuer Source wollte man die Vergangenheit hinter sich lassen. Leider ist das voll in die Hose gegangen, da man sich erneut für eine Source mit Sicherheitsproblemen entschieden hat. Dies wirft kein gutes Licht auf die Betreiber. Es zeigt außerdem, dass die Verantwortlichen keine ausreichenden Kompetenzen für ein solches Projekt aufweisen. Wir betonen immer wieder, dass es eben keine Lösung ist, bei Sicherheitsproblemen einfach die nächstbeste Source zu installieren und zu hoffen, dass damit sämtliche Probleme gelöst werden.
Das einzige Positive war, dass der Staff uns nach einem Security-Review gefragt und uns einen Account für die Tests zur Verfügung gestellt hat.
https://www.sb-innovation.de/attachment.php?attachmentid=15436
Source: NetVision
Nachdem der Tracker Luzifers Fallen Angel bei unserem Security-Review durchgefallen (https://www.sb-innovation.de/showthread.php?34079-Luzifers-Fallen-Angel) war, haben die Betreiber nun einen neuen Tracker mit neuem Namen und neuer Source aufgesetzt.
Serversicherheit
OS: Linux, Debian 9.0
Webserver: Apache 2.4.25
MySQL: 5.7.26
Neben dem Webserver Apache gibt es noch ein paar offene Ports für SHOUTcast und einen für Teamspeak 3. SMTP läuft dort ebenfalls, der Eingangsport 25 ist allerdings geschlossen. Ein Port für SSH findet sich gar nicht. Server ist deshalb soweit in Ordnung.
Für die Firewall gilt das Gleiche wie bei den meisten anderen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.
Als Geolocation Kanada auszuwählen ist zumindest besser als Frankreich, aber da hier wieder OVH benutzt wird, ist es nur eine geringfügige Verbesserung.
Trackersicherheit
Auch die neue Source enthält gravierende Sicherheitsprobleme. In diesem Punkt also keinerlei Verbesserung zum vorherigen Review.
Proofs aus dem Staffpanel
https://www.sb-innovation.de/attachment.php?attachmentid=20067
https://www.sb-innovation.de/attachment.php?attachmentid=20068
https://www.sb-innovation.de/attachment.php?attachmentid=20069
https://www.sb-innovation.de/attachment.php?attachmentid=20070
https://www.sb-innovation.de/attachment.php?attachmentid=20071
https://www.sb-innovation.de/attachment.php?attachmentid=20072
https://www.sb-innovation.de/attachment.php?attachmentid=20073
https://www.sb-innovation.de/attachment.php?attachmentid=20074
https://www.sb-innovation.de/attachment.php?attachmentid=20075
Fazit
Mit neuem Namen und neuer Source wollte man die Vergangenheit hinter sich lassen. Leider ist das voll in die Hose gegangen, da man sich erneut für eine Source mit Sicherheitsproblemen entschieden hat. Dies wirft kein gutes Licht auf die Betreiber. Es zeigt außerdem, dass die Verantwortlichen keine ausreichenden Kompetenzen für ein solches Projekt aufweisen. Wir betonen immer wieder, dass es eben keine Lösung ist, bei Sicherheitsproblemen einfach die nächstbeste Source zu installieren und zu hoffen, dass damit sämtliche Probleme gelöst werden.
Das einzige Positive war, dass der Staff uns nach einem Security-Review gefragt und uns einen Account für die Tests zur Verfügung gestellt hat.
https://www.sb-innovation.de/attachment.php?attachmentid=15436