Closed Thread
Page 2 of 4 FirstFirst 1234 LastLast
Results 16 to 30 of 51

Thread: Torrent Network

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    Torrent Network

    Tracker: Torrent Network
    Sources: TB-Source 09; selfcoded Java-based-Tracker

    Es gibt immer noch einen Haufen Tracker, die ich noch nicht geprüft habe. Heute widme ich mich mal dem Torrent Network. Der Tracker gehört mittlerweile zu den Ältesten und auch dort sind schon einige SysOp-Generationen durchgebracht worden. Wie es bei dem Tracker um die Sicherheit bestellt ist, habe ich mir mal genauer angesehen.

    Serversicherheit

    MySQL: 5.0.12
    Webserver: nginx (3 zusätzliche)
    Mail: Postfix
    SSH: OpenSSH 5.3

    Abgesehen vom http/s Dienst an den Standardports stehen noch drei weitere an höheren Ports bereit. Es findet sich auch ein Postfix und ein altes SSH was auf eine ähnlich alte Version des Betriebssystems schließen lässt.
    Eine Firewall war nicht festzustellen. Sollte eine solche existieren, ist sie ziemlich nutzlos. Eine über zehn Jahre alte MySQL Version ist zwar grundsätzlich keine Sicherheitslücke, aber allein wegen dem Performancezugewinn wäre ein Update wünschenswert.

    Trackersicherheit

    Torrent Network scheint es mit der Sicherheit nicht so genau zu nehmen und hat gleich zwei Tracker parallel laufen, die die selbe Datenbank benutzen. Dies ist aus mehreren Aspekten eine sehr schlechte Idee. Zum einen gibt es eine unnötige Doppelbelastung des Servers (insbesondere der Datenbank), zum anderen gibt es so natürlich auch doppelte Angriffsfläche für einen möglichen Angreifer. Es laufen einmal eine etwas in die Jahre gekommene TB-Source und dann ein offenkundig selbst geschriebener Tracker, der auf Java(script) basiert. Besonders spannend bei diesem Java-Frontend: Man kann ohne überhaupt eingeloggt zu sein die Seitenstruktur und somit Inhalte, die erst nach dem Login sichtbar sein sollten, sehen.
    Kommen wir zum sensiblen Teil dieser Kategorie, den Sicherheitslücken. Wie bereits angesprochen sind zwei Plattformen als Angriffsziel natürlich für einen potenziellen Hacker wie eine Einladung auf dem Silbertablett. Es war zwar nicht so einfach, aber es ist mir wieder einmal gelungen Zugriff auf die Datenbank und sämtliche Teile des Trackers zu erlangen.
    Ich habe mich dieses mal wieder für ein paar Screens von einem Sys0p Account entschieden, weil Tabellen mit Daten aus der Datenbank doch etwas trocken sind auf Dauer. Hier jetzt also ein paar interne Screenshots (TB-Source):

    Stafftools



    MySQL Stats


    Uploader Stats


    Doppelaccounts


    Auszug aus der Usertabelle
    added class email secret passkey username passhash
    1274528211 0 sys*@web.de !7}Vu 875d36cbd2cc7015720e4098fd5d6984 Holzfuß 85f1e507c4bc99c21f49df6e8d56bad7
    1274566999 70 den*@hotmail.de |A^bO 261e07e5559e1646c7eef0bbe16c9d2f TOMTOM 45cb79d8a49f73c5adcec4e3d63b7180
    1275307293 1 meis*@hotmail.de KPdj; 4ffd1c8165c66e28b3feecd2c1dbfd2d Meisterpropper a9b569d5c26780b174e4c8d91e45b0ab
    1275483911 18 free*@googlemail.com P7]mW 69b88d582bdb6d144050e22280d505e9 Chakka be807691ac2efe8437dbc970f78a6e54
    1275585770 18 bo*@hotmail.de FI&ap d4475b6a948011bcb182ad45d31d49dc WurstPelle cb7e5a53d72644e4082489364a485ae7
    1275860791 18 96ja*@gmail.com V[c+! 7cfab9414b5739c1bdf05afd18093c04 jackbauer 1737ba9dc2c10bdbf7ac797ba219d780
    1275860851 70 sound*@hotmail.com >kJ'' d8e77773d3a21eafcbf9d17b0ce6185f SoundmixDJ 2aaa8208a9fbda39f2b99e90674dbcf5
    1275933665 1 hor*@hotmail.de Q8CZa 0c6b79d57b71209b544404ead36e1ce3 Gartenzwerg 37669d24bd140c528ea386329168adf5
    1275942558 1 red*@arcor.de yV3aM 22f5b07b2d46a2fd3af6fce98a899212 jason a39566165fe3528764126ec736cccf05
    1275947749 40 ro*@freenet.de 'z)Gc f149085edb1c419da52d247b4d8dc66e ZoRo 431f248bcddc5eb816e089bf862d7822
    1275981241 20 ed*@gmx.de 3}0<+ 57f6673e25e1f83ffcae15b424f4d72a Edd186 28930e81c947897c57ac7d79c7dff700
    1276104098 1 darth*@web.de .FXhR 9e3be93144f8fa83a6ef7e013b37a740 Pennywise 33d0c688182c00a89e0a49b1d983c02c
    1277810527 0 d.d*@atas.cz U(5i{ 1d30b0aefdf89dc21d0a4a8a9251c4b1 Geronimo eed2c74334c54f2b18094f0781840439
    1277821853 1 c*@googlemail.com jzu8w 5838adf8d7e8501f841464cc9a9fe53f Ammari f95b35a66d80f816a909a48643e812c4
    1275942558 1 red*@arcor.de yV3aM 22f5b07b2d46a2fd3af6fce98a899212 jason a39566165fe3528764126ec736cccf05
    1277883492 1 no*@gmx-topmail.de ['Hnz 006085e2b456b63106486bd84f095c7e fatfred 47a4234c1e705681bb04ed352a3c38b1
    1277897764 1 ano*@web.de P2Q"H dff921a516c15d8783c3a3eb7e0a5af9 gitta 092ee59ec86aee5d2b67e999a4ba3572

    Fazit

    Der Weggang von Cloudflare hat mir natürlich in die Hände gespielt und gleichzeitig offengelegt, dass die Betreiber mehr Zeit in Wartung und Konfiguration des Servers stecken sollten. Bedenkt man den modernen aber fraglichen Ansatz der neuen Java-basierten Seite, stellt sich die Frage, ob die Betreiber ihre Bemühungen an den richtigen Stellen investieren. Man sollte sich für eine Source entscheiden und nicht auf zwei Hochzeiten gleichzeitig tanzen. Die TB-Source als Basis ist nicht die aller schlechteste und kommt in Deutschland auch selten zum Einsatz. Als Endbenutzer würde ich mich allerdings nach Alternativen umsehen, der Java-Tracker war nämlich offenkundig ein Griff ins Klo. Dazu die angebliche Sperre von Cloudflare, sollte sämtliche Alarmglocken klingeln lassen. Die Höhe der Bitcoin Spenden kann man übrigens hier einsehen: https://blockchain.info/address/1AqZ...VEzTrn3ySNnQnS



    Thanks

  2. Who Said Thanks:

    (16.01.20) , tesastreifen (03.04.19) , Quasar (15.06.17) , blood (03.02.16) , frido (01.02.16) , LaTorrenta (30.01.16) , Darkman1965 (29.01.16) , corregidor (29.01.16) , Würfelzucker (29.01.16) , xJ9_ (29.01.16) , Snitlev (29.01.16) , Instab (29.01.16) , Großmutter (28.01.16) , Lucius (28.01.16) , Freak69 (28.01.16)

  3. #16
    Tempel Staff
    Join Date
    09.10.11
    Location
    Italy
    P2P Client
    rtorrent
    Posts
    36
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 sssssss36
    der sinn eines "hackes" ist das man lücken im sytsem aufzeigt damit diese behoben werden

    diese lücken sollte man den team dann in der oben gezeigten form darlegen.
    und zwar INTERN und nicht öffentlich. und wenn man cool ist und kein egomane dann hilft man sogar beim schliessen der lücken.

    ich weiss das es nicht immer einfach ist , bin selber schon von 3 trackern geflogen nachdem ich ihnen ihre lücken aufgezeigt habe, aber deshalb fahr ich nicht den egotrip und mach die lücken öffentlich

    und das vor allen nicht wenn es sich um Torrent Tracker handelt.

    wenn man eine normale webseite so offenlegt welche legalen content hat ist das was anderes (und dann auch ohne private daten), aber doch nicht bei trackern

    die trackerwelt ist eh sehr klein geworden und ich muss sagen das ich auch diese art von forum hier das letzte finde, hier werden reviews veröffentlicht, ob die tracker owner das wollen oder nicht. wer sich hier gerne sehen möchte kann dieses ja eintragen , aber gegen den willen der tracker owner finde ich das ein armutszeugnis... noch schlimmer finde ich es dann selbst die reviews nicht gelöscht wenn tracker die sich hier nicht sehen wollen dazu extra anfragen

    selbst wenn tracker sicher wären... ist eine solche offenlegung mit url eine vorsätzliche gefährdung des trackers und der user. da ist es schon SCHEINHEILIG zu behaupten diese SECURITY reviews im dienste der user machen.

    Die user werden duch diese "öffentlichkeits arbeit" noch mehr gefährdet,den so rücken die tracker noch mehr in die öffentlichkeit, was sie nicht wollen.

    jeder mag da seine eigene meinung zu haben, meine ist halt diese

    bei dieser aktion, im gegenteil zu anderen finde ich besonders schlimm, das hier mit absicht der tracker ein zweitesmal reingerissen wird, obwohl man beim ersten mal schon hätte alle lücken aufzeigen können, damit diese auch sofort gefixed werden, aber nein man wartet scheinheilig die reaktion des trackers ab, wohl wissend das man noch mehr hat und dann noch einen drauf legen kann, damit man ein noch tollerer hecht ist

    naja jedem das seine, jedem das seine.
    Last edited by uk501; 01.02.16 at 23:12.
    Thanks

  4. Who Said Thanks:

    Unschuldig (29.05.16) , Flux (02.02.16) , dasH (02.02.16)

  5. #17
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Was ist mit dir denn nicht richtig? Postest hier im Forum seit Jahren internes Material und Infos von Trackern und auf einmal findest du es nicht mehr in Ordnung? Scheinheiliger geht's ja wohl nicht.
    Sag doch einfach dass du Angst hast, dass bei dem nächsten Leak deine Daten dabei sind. Schreib mich einfach vorher an, dann lass ich deine Zeile aus.

    Noch mal zum Mitmeißeln für die Allgemeinheit: Das Ursprungsreview hat keinerlei sensible Daten enthalten. Wie man den Screens entnehmen kann habe ich absichtlich IP-Adressen und Emails zensiert. Die Tabelle mit den Nutzerdaten ist nur im Netz gelandet, weil der Sysop bei der Aktion noch seine User bescheißt/belügt und das ganze für einen Witz hält. Wenn ich es nötig gehabt hätte mein Ego damit zu pushen, hätte ich den ganzen Tracker platt gemacht und keinen einzigen Torrent übrig gelassen.

    Also heult euch bei eurem Sysop aus und nicht hier. Ab jetzt werde ich alle nutzlosen und unsachlichen Beiträge gnadenlos entfernen, das ist mir echt zu dumm. Ich habe meinen Job erledigt, jetzt muss TN seinen machen.


    Thanks

  6. Who Said Thanks:

    frido (08.02.16) , Snitlev (05.02.16) , blood (03.02.16) , LaTorrenta (02.02.16) , Nachten (02.02.16) , Instab (02.02.16)

  7. #18

    Join Date
    03.04.15
    Location
    germany
    P2P Client
    utorrent
    Posts
    28
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 sssssss28
    Weil du mit Kritik nicht leben kannst, löschst du meinen Beitrag?

    TN wird gefickt, nachdem wirklich was getan wurde. TSC... ach das solltest du auch wissen.
    Scheinheilig.
    Du machst die kleine Tracker-Szene noch kleiner, indem du Mods diskreditierst.
    Das mit den Sysops ist mir egal.
    So jetzt haste es gelesen, kannste gern auch wieder löschen. Das war dann mein letztes Wort.
    Ich freue mich auf neue Sec Reviews mit mehr Verantwortung.
    Thanks

  8. #19
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Ein Update im "Fall Torrent Network".

    Etwa eine Woche ist jetzt vergangen und bis auf die Änderung im Loginverfahren ist nichts geschehen. Die Lücken bestehen nach wie vor, wodurch es einem potentiellen Angreifer gelingen wird in die Datenbank zu kommen und beliebige Daten abzuzweigen. Daraus muss ich leider schließen, dass der Sysop weder seine Source kennt, noch technisch überhaupt die Fähigkeit besitzt die Lücken ausfindig zu machen und zu schließen. Das ist leider ziemlich alamierend und verändert das negative Bild des Trackers auch nicht.
    Von meinem veröffentlichten Datensatz hat es gerade mal ein Benutzer geschafft seine Email zu ändern und Passkeys wurden auch so gut wie nicht geändert. Gut, nützt sowieso nichts wenn ich mir jederzeit die neuen Daten besorgen kann.

    Sowas habe ich bei all meinen Security-Reviews wirklich noch nie erlebt. Eine schlechte Informationspolitik den Usern gegenüber und dann werden auch noch nicht mal die Sicherheitslücken beseitigt. Das ohnehin schon sehr schlechte Image der deutschen Tracker wird dadurch natürlich zusätzlich beschädigt, aber das scheint die Verantwortlichen nicht im geringsten zu interessieren.


    Thanks

  9. Who Said Thanks:

    Nachten (07.02.16) , bobberle (05.02.16) , elcid (05.02.16) , Snitlev (05.02.16) , Instab (05.02.16)

  10. #20
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Kleiner Fun-Fact am Rande: Der Sysop Datensatz aus der Usertabelle mit dem Usernamen "TOMTOM" existiert nicht mehr. Was das heißt kann man sich leicht zusammenreimen.


    Thanks

  11. Who Said Thanks:

    Nachten (07.02.16) , LaTorrenta (06.02.16)

  12. #21

    Join Date
    14.02.16
    Posts
    1
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss1
    Mir wurde vom TN Team versichert das keine User Daten betroffen waren
    und die DB nicht gehackt wurde.
    Das Team geht davon aus das die Daten die hier im Umlauf sind entweder
    falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
    wurden.
    Ich sehe keinen Grund warum die nicht die Wahrheit sagen sollten.
    Thanks

  13. #22
    VIP
    Snitlev's Avatar
    Join Date
    30.09.08
    Location
    WWW
    P2P Client
    legal, illegal, scheißegal
    Posts
    10,437
    Activity Longevity
    1/20 19/20
    Today Posts
    0/5 ssss10437
    Quote Originally Posted by Sophie View Post
    Ich sehe keinen Grund warum die nicht die Wahrheit sagen sollten.
    Wirklich nicht, oder bist du einfach nur naiv?

    Wenn sie bestättigen würden was @Rebound hier geäussert hat, wäre es sicherlich ein Armutszeugnis, also was sollten sie anders tun ausser die User zu beruhigen.

    Letztendlich stehen halt immer Aussagen (bzw. Fact's von @Rebound) gegenüber was? Nur Aussagen, oder haben sie etwa andere belegbare Fakten?

    Davon ab, will @Rebound niemanden anscheißen oder anschwärzen, sondern wie schon etliche Male von ihm geäussert, nur auf die Sicherheitslücken hinweisen um die dortigen User darauf aufmerksam zu machen, wie sie letztendlich damit umgehen liegt ja bei Ihnen oder auch an der Stellungsnahme der verantwortlichen Staff mit ihren Usern...

    mfg

    Wer versucht zu rennen, bevor er laufen kann, kommt meistens zu Fall



    stop animal experiments, take child molesters - they like pain!


    Besser man bereut was man getan hat, anstatt zu bereuen das man es unterlassen hat
    Thanks

  14. Who Said Thanks:

    Freak69 (15.02.16) , LaTorrenta (15.02.16)

  15. #23
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Quote Originally Posted by Sophie View Post
    Mir wurde vom TN Team versichert das keine User Daten betroffen waren
    und die DB nicht gehackt wurde.
    Das Team geht davon aus das die Daten die hier im Umlauf sind entweder
    falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
    wurden.
    Ich sehe keinen Grund warum die nicht die Wahrheit sagen sollten.
    Du glaubst wahrscheinlich auch noch an den Weihnachtsmann.


    Thanks

  16. Who Said Thanks:

    Freak69 (15.02.16)

  17. #24
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,659
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6659
    Quote Originally Posted by Sophie View Post
    Mir wurde vom TN Team versichert das keine User Daten betroffen waren
    und die DB nicht gehackt wurde.
    Das Team geht davon aus das die Daten die hier im Umlauf sind entweder
    falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
    wurden.
    also entweder sind die herren von TN ziemlich dreist oder ziemlich dumm. beide fälle sind gleichermaßen schlecht und zwar primär für die mitglieder.
    wenn man mit einfachen und allseits bekannten mitteln die komplette datenbank sowohl einsehen als auch bearbeiten kann ist das für jede webseite alarmstufe rot. in so einem fall gilt es für jeden auch nur halbwegs verantwortungsbewußten betreiber mit allen mitteln das loch zu beseitigen und das vertrauen der mitglieder durch transparenz und ehrlichkeit wiederzugewinnen.
    Your account has been disabled.
    Thanks

  18. Who Said Thanks:

    Freak69 (15.02.16)

  19. #25
    Quote Originally Posted by Sophie View Post
    Mir wurde vom TN Team versichert das keine User Daten betroffen waren
    und die DB nicht gehackt wurde.
    Das Team geht davon aus das die Daten die hier im Umlauf sind entweder
    falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
    wurden.
    Ich sehe keinen Grund warum die nicht die Wahrheit sagen sollten.
    und warum wird dann vom team ein passkey-reset empfohlen?
    zähle doch einfach 1+1 zusammen und sei nicht so naiv!
    Thanks

  20. #26

    Join Date
    01.08.09
    Location
    Deutschland
    P2P Client
    2.0.4
    Posts
    155
    Activity Longevity
    0/20 18/20
    Today Posts
    0/5 ssssss155
    Oh je oh je das grenzt schon an Naivität hoch zehn was soll man dazu noch sagen

    Quote Originally Posted by Sophie View Post
    Mir wurde vom TN Team versichert das keine User Daten betroffen waren
    und die DB nicht gehackt wurde.
    Das Team geht davon aus das die Daten die hier im Umlauf sind entweder
    falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
    wurden.
    Ich sehe keinen Grund warum die nicht die Wahrheit sagen sollten.
    Thanks

  21. #27

    Join Date
    15.01.16
    Location
    Nord-Ost-Süd-West
    P2P Client
    Deluge
    Posts
    39
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss39
    Quote Originally Posted by Sophie View Post
    falsch sind oder aber von einer Stelle recht weit oben im Team geleaked
    wurden.
    Ich habe mir jetzt echt lange überlegt, ob ich zu dieser Diskussion was beitrage oder nicht. Das wäre für mich eher gesagt noch der schlimmste Supergau wenn ein Teammitglied Daten als Leak rausgeben würde.
    Thanks

  22. Who Said Thanks:

    Rebound (16.02.16)

  23. #28

    Join Date
    06.08.09
    Location
    herne
    P2P Client
    u torrent
    Posts
    10
    Activity Longevity
    0/20 18/20
    Today Posts
    0/5 sssssss10
    Leute Rebound Macht sich Strafbar in dem er Seiten Hackt Beispiel !
    Rebound Prüft jetzt sagen wird Gods Dadurch das er das Sicherheitssystem durchbricht Begeht Eine Straftat kenne mich aus damit saß selber deswegen. Eineinhalb Jahre im Knast als Rebound Sei Vorsichtig die Betreiber können sagen du hast ihr Forum gehackt wo sensible Daten sind und somit bist du der jenige der in denn Knast geht wie ich damals.

    Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
    Thanks

  24. #29
    Großmutter's Avatar
    Join Date
    12.12.07
    Location
    deutschland
    P2P Client
    µtorrent
    Posts
    837
    Activity Longevity
    4/20 20/20
    Today Posts
    0/5 ssssss837
    Kann mir nicht vorstellen,das irgendein Trackerbetreiber die Stadtsanwaltschaft holt weil ihn jemand gehackt hat.
    Oder?
    Ist als wenn ein Drogendieler zur Polizei geht und sagt ,irgend jemand hat meinen Stoff geklaut.
    Last edited by Großmutter; 16.03.16 at 22:03.
    Thanks

  25. Who Said Thanks:

    Freak69 (18.03.16) , Snitlev (17.03.16) , Instab (17.03.16)

  26. #30

    Join Date
    07.06.15
    P2P Client
    Utorren
    Posts
    95
    Activity Longevity
    1/20 11/20
    Today Posts
    0/5 sssssss95

    Cool

    da hat Großmutter wohl recht .
    Last edited by Daden; 16.03.16 at 23:54.
    Thanks

Closed Thread
Page 2 of 4 FirstFirst 1234 LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •