The Shinning

[Rebound]

Tracker: The Shinning
Source: veränderte NetVision-Source

Dieses Security-Review beschäftigt sich mit dem Tracker „The-Shinning“. Anders als der Name erahnen lässt, gibt es leider nicht viel "scheinendes" zu vermelden in diesem Review.

Serversicherheit

Bis vor Kurzem konnte man noch die PHP-Info öffentlich einsehbar finden. Scheinbar hat das Borgzelle Review etwas Staub aufgewirbelt und die Admins von The-Shinning haben reagiert und das gute Stück entfernt. Natürlich habe ich die Infos vorsorglich gesichert.

PHP-Version: PHP Version 5.3.3-7+squeeze26 (Aktuellste: 5.6.9)

Nicht die neuste Version, allerdings gibt es keine nennenswerten Sicherheitsprobleme mit der 5.3.3, daher kein Grund zur Sorge.

MySQL-Version: 5.1.73 (Aktuellste: 5.6.25)

Hier gilt das Gleiche wie bei PHP. Zwar nicht aktuell, aber unbedenklich. Trotzdem sollte man natürlich nicht ewig warten bis irgendwann mal eine Sicherheitslücke entdeckt wird und versuchen, PHP/MySQL up to date zu halten.
Die PHP-Info wurde wie bereits oben erwähnt entfernt. Sonst wäre dies ein Kritikpunkt gewesen.

Trackersicherheit

Der Tracker hat so viele Sicherheitslücken, dass man fast glauben muss, es steckt Absicht dahinter. Ich bin problemlos in die Datenbank gekommen und hätte sicherlich so einiges damit anstellen können.

vorhandene Datenbanken:

• information_schema
• mysql
• performance_schema
• shinning

Kleiner Auszug aus der Usertabelle:

id	class	email	username	passhash
1	13	the.shinning1@***.de	Jackpot	99caa7a920e53bf11f4648e6747a61e9
12	106	ctr2001@***.de	skydog	cac7b61043601ec458535a4974ddf765
52	5	Michael866@***.de	Michael866	9adac0a7cbdd7b8fadc86d882ff29de9
87	3	sk8ramp1@***.com	gtx	b8f28c6fad2236bc8a7499552e09732a
96	3	fielding71@***.de	Harry	e11ab0c65e543f4396c0a148159cd78a
127	6	stefanw4@***.com	cartman	8584b6c0b5e521850ec132b61157c17f
148	6	kai-s-frank@***.de	seimen	f4454e179aee0e446c6411683f2de9e0
157	3	funtasie@***.net	Funtasie	b4cad99138bc4683ed1d6a65723c1468
162	3	memphistennessee@***.de	Elvis	da47d660795899e54124d7e4ecca5090
175	6	bittor68@***.de	goose	791fc48db5e0f73f684777bd72edecf7

Passhashes sind zwecks Salt natürlich kaum zu knacken.

Fazit

Gäbe es ein Security-Review Ranking, wäre dieser Tracker bisher an letzter Stelle. Eklatante Sicherheitslücken innerhalb des Trackers gewähren Zugriff auf die komplette Datenbank und mit etwas Zeitaufwand kann man höchstwahrscheinlich den ganzen Tracker hacken und übernehmen. Auch The Shinning handelt grob fahrlässig und verlässt sich darauf, dass nur User ohne böse Absichten auf dem Tracker unterwegs sind. Wenn ich wollte, könnte ich einen kompletten Dump der Datenbank anfertigen und veröffentlichen.
Das abschließende Fazit fällt daher vernichtend schlecht aus. Von diesem Tracker bloß die Finger lassen!

[Jackson312]

Hast dirtsa schon angeschrieben wegen dem angebot?

Jedenfalls sind shinning wohl wieder on

[Ruroc]

Ja hab ihn mal angeschrieben. Auf jedenfalls werde ich mir noch eine Ausweichmöglichkeit suchen damit ich nicht wieder ohne was da stehe.
TsH ist zwar on aber im Aufbau!

[Protector]

Du willst doch da nicht wieder drauf gehen wenn die online kommen nach allem was die mit den usern gemacht haben

[dirtsa27]

Ja hab ihn mal angeschrieben. Auf jedenfalls werde ich mir noch eine Ausweichmöglichkeit suchen damit ich nicht wieder ohne was da stehe.
TsH ist zwar on aber im Aufbau!

Sorry, ich kann dir auf deine PN nicht antworten, da ich noch keine 10 Post`s hier gemacht habe...
Aber es gibt eine Alternative: schicke mir bitte als PN (denn die erhalte ich ja) deine Emailadresse, dann können wir uns darüber weiter austauschen!

[Ruroc]

@Protector ich werde mich versuchen mit nen pic von TsH auf anderen Trackern zu bewerben, bzw Kontakte knüpfen um evtl. eine Invite zu bekommen.

[SuperKuh]

Hi zusammen, hab eine Mail aus diesem Forum erhalten und schon einiges gelesen über das Thema. Bin schon 8 Jahre auf dem Tracker, always on. Was genau ist den jetzt die Geschichte und wie geht es weiter?

[cyberart]

Bin auch sehr verwundert gewesen als ich die Email bekommen habe und bin gespannt wie das weiter geht bin selber ca.4 Jahre bei ThS und habe bis dato nichts bekommen, weiters habe ich mich in mehreren Foren-Tracker umgesehen und leider festgestellt das es sehr schwer sein wird irgenwo anders unterzukommen. Daher ist es sehr gut gemeint das sich Leute wundern ob man wieder zurück geht, aber andererseits was soll man machen wenn man nirgenst anders unterkommt. Habe mich auch schon bei Gods beworben aber die Chancen stehen dort wohl nicht sehr gut, wie ich das mitbekommen habe. Bin dankbar wenn wer helfen bzw. Tipps für mich hätte. Lg.

[waffi]

Um der allgemeinen Userabwanderung vom Torrentwesen und dem demografischen Wandel (ja, er hat auch uns erreicht) etwas entgegenzuwirken, haben wir uns entschlossen, ab sofort einen passenden Channel im IRC zur Verfügung zu stellen. Eine offene Registrierung können wir aus diversen Gründen verständlicherweise nicht anbieten. In diesem Channel geben wir potenziellen Kandidaten die Chance, einen Account bei uns zu erhalten. Aus diesem Grund ist es ausdrücklich erlaubt, den nachfolgenden Infotext zu verbreiten und weiterzugeben.

Zitat:
Wer Interesse an einer Einladung für das Torrent-Syndikat hat, kann sein Glück in unserem IRC-Invitechannel versuchen. Benötigt wird hierfür lediglich ein Profillink von einem anderen, renommierten Tracker. Alle weiteren Informationen bekommt ihr vor Ort. Bitte habt etwas Geduld, falls es etwas länger dauert.

IRC-Daten
Server: irc.torrent-syndikat.org
Channel: #invites
Ports: 6667 und 6697 (SSL)
Webchat: IRC Webchat


Euer Torrent-Syndikat Staff

Bin wunschlos zufrieden auf TS :)

[matrix2003]

Bin wunschlos zufrieden auf TS :)

Das wäre eine Alternative allemal für die die was neues Suchen und wenn man sich im IRc nicht Dumm anstellt dann hat man da sehr gute Chancen unter zu kommen...einfach mal Probieren besser als auf TSH zu bleiben. und Gods wenn man sich im Forum bewirbt aber nicht so 0815 dann hat man da auh gute Chancen.

[cyberart]

Das wäre ein super Angebot, nur leider kan ich keinen Profillink senden da TsH down ist.

[waffi]

Das wäre ein super Angebot, nur leider kan ich keinen Profillink senden da TsH down ist.

Probieren kannst du es trotzdem:)

[cyberart]

Danke werde es probieren. LG.

[DiePest]

Ich habe früher mal versucht für jeden meiner Bedürfnisse einen Tracker zu finden. Filme,Animes,Musik und inzwischen auch Ebooks. Bisher konnte ich alles außer Ebooks gut abdecken.

Falls in der Richtung jemand was kennt - PM me Ich hab einen Homeserver der seit 10 Jahren fast ununterbrochen Seedet.

[lmt]

Ich selbst war bei TSH ich wollte meinen Account löschen lassen, interessant ist das man jetzt seine User Heulsusen nennt weil man sich löschen lassen will man solle sich einfach 8 Wochen nicht mehr einloggen dann würde man deaktiviert aber erst 6 Monate später würde man aus der Datenbank komplett entfernt, ich weiss nicht was das bringen soll jetzt die Löschung des Accounts zu verweigern. Naja dann logge ich mich einfach nicht mehr ein und hoffe das wirklich nach 6 Monaten meine Daten aus der Datenbank gelöscht werden.

[hontoCorti]

Kann Rebound nur danken für seine Reviews!
Hoffentlich wird dadurch das Interesse an der Trackersicherheit für die Betreiber etwas geweckt.
Wenn teilweise die einfachsten Ratschläge (Standardpasswörter, offene Ports etc.) nicht befolgt werden
dann ist es um die Administration wirklich schlecht bestellt.