Closed Thread
Page 3 of 4 FirstFirst 1234 LastLast
Results 31 to 45 of 51

Thread: TSC

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    TSC

    Tracker: TSC
    Source: schwer zu sagen, ich würde auf eine veränderte NV-Source tippen

    Vom Unterhaltungswert kann ich versprechen, dass dieses Security-Review das bislang Amüsanteste werden wird. Für gewöhnlich halte ich mich ja ziemlich dezent zurück, aber diese Aktion, die sich da TSC geleistet hat, werde ich gnadenlos ausschlachten. Aber fangen wir erst mal wie mit jedem Security-Review an. Großer Dank geht wie immer an Instab, der mich auch hier tatkräftig unterstützt hat. Los geht’s!

    Serversicherheit

    OS: Linux, Debian 8
    DB: MySQL, 5.5.44-0+deb8u1
    SMTP: Postfix
    Webserver: Apache/2.4.12
    SSH: OpenSSH_6.7p1
    SHOUTcast: 1.9.8

    Die MySQL Version ist auf dem Stand vom Juli und somit sehr aktuell im Vergleich zu den anderen getesteten Trackern. Weniger gut ist allerdings, dass sie von außen erreichbar ist und das ohne Hostfilter und auf dem Standardport!
    Auch ein Mailserver antwortet brav am Standardport, was für sich gesehen kein Problem ist. Da eine Torrentseite aber weder e-Mails empfangen muss, noch sollte, stellt dies ein unnötiges Risiko dar.
    Wenn man also das Gesamtbild betrachtet, zeigt sich wie so oft eine schlecht konfigurierte Standardinstallation, die in diesem Fall immerhin nicht auch noch durch stark veraltete Versionen glänzt. Soll heißen: Es gab schon schlimmere Fälle, aber von einem Meisterstück ist auch dieser Server sicherheitstechnisch gesehen weit entfernt.

    Trackersicherheit

    Wie auch bei vielen anderen deutschen Trackern konnte ich hier einige der häufigsten Lücken ausfindig machen, welche mir problemlosen Zugriff auf die Datenbank ermöglicht haben. Damit ist es auch hier möglich, sämtliche Userdaten, Torrents, Private Nachrichten etc. auszulesen. Wie immer habe ich exemplarisch die Datenbanken aufgelistet und einen kleinen Auszug aus der Benutzertabelle. Anschließend folgen ein paar Erklärungen.

    Datenbanken

    • information_schema
    • mysql
    • performance_schema
    • phpmyadmin
    • programmagic
    • tsctracker



    ID Added Class Email Username Passhash
    1 2008-07-17 02:42:37 102 cen***@web.de Force 2903396cfb4fa5a4adec4448909ea1a8
    21749 2013-02-16 00:14:25 1 cen***@web.de Scubadevil 41065ff29e29c6a4bde4136a81b8dc96
    21761 2013-02-16 23:4 7:02 1 cen***@web.de Test d81115a0662cba7b2e5e3da1b58f45d1
    21781 2013-02-18 00:04:17 1 cen***@web.de Cazzper 3d66c299d8df5a921770bc1c7af5568e
    21792 2013-02-18 15:29:37 1 cen***@web.de bvb 8a4f7466349c56dd0b4bf3431c7fe4d8

    Auch wenn eine Sache im Auszug der Benutzertabelle direkt auffallen sollte, habe ich die entsprechenden Stellen mal rot markiert. Obwohl ich die E-Mail-Adressen zensiert habe, so kann man doch eine verblüffende Ähnlichkeit feststellen, obwohl es sich bei jeder Zeile um einen anderen Benutzer handelt. Doch wie kann das sein? Die Antwort ist ziemlich einfach und zugleich schockierend: Ich habe versehentlich beim rumspielen mit der Datenbank alle E-Mail Adressen in der Benutzertabelle mit meiner Eigenen überschrieben.
    Ich dachte erst an einen Fehler meinerseits, aber es stellte sich schnell heraus, dass ich tatsächlich von allen Usern die Mail-Adresse geändert habe.
    Aber richtig amüsant wird diese Aktion eigentlich erst mit der letzten Newsmeldung, die TSC herausgebracht hat:
    Durch einen Systemfehler wurden leider alle Profile auf Anfang gestellt
    und eure E-Mail Adresse wurde leider auch geändert!
    Der Fehler wurde gefunden und beseitigt!
    Allerdings bitten wir euch, eure Profile wieder selbst einzustellen, dickes SORRY dafür !
    Als kleine Entschädigung für eure Mühen stellen wir alle Torrents auf OU !
    Vielen Dank für das Verständnis und weiterhin viel Spass!
    „Systemfehler“. So nennt man einen Hack jetzt neuerdings also. Ich weiß nicht, was ich schlimmer finde. Die vorhandenen Sicherheitslücken oder die dreiste Lüge, mit der die Community für dumm verkauft werden soll. Solche „Systemfehler“ gibt es nicht. Entweder wurden als Panikreaktion direkt alle Mailadressen mit einem Platzhalter ersetzt, wodurch auch ein Teil der Profileinstellungen verloren gegangen ist oder, was wesentlich erschreckender wäre, es existierte kein Backup! Damit hätte man die E-Mail-Adressen ziemlich einfach wieder zurücksetzen können. Dies verleitet mich zu der Annahme, dass es keine regelmäßige Backup-Routine gibt, was bei jedem Web-Projekt grob fahrlässig ist. Auch wenn ich es noch nicht erneut getestet habe, so bin ich mir sicher, dass die eigentliche Sicherheitslücke noch nicht mal geschlossen wurde.

    Fazit

    Wie mein Review ausfällt, kann man sich wohl denken. Setzen sechs!



    Thanks

  2. Who Said Thanks:

    Nemesis (04.04.19) , Flux (26.03.19) , tesastreifen (26.03.19) , tr0y (22.03.19) , Turnschuh (10.01.19) , anthony-joal (20.08.17) , Russelowner (03.12.15) , blood (18.09.15) , MonsterLag (18.09.15) , TorrentJunky (17.09.15) , zappkönig12345 (16.09.15) , Snitlev (16.09.15) , Instab (16.09.15)

  3. #31
    Missi
    Quote Originally Posted by pombaer View Post
    100%? Nun sind wir aber alle gespannt auf die neue Source (Edith: war wohl nix noch immer der alte Schund).
    Wer hat was von einer neuen Source gesagt? War nie die Rede von.


    Quote Originally Posted by Darkman1965 View Post
    Der Tracker steht sowieso schon am Abgrund muss nur noch herunter fallen.
    Das derzeitige Team dort hat alles getan um das zu bewerkstelligen.
    Hat damals angefangen mit den Clienten ( das viele nicht mehr in der Whitelist sind) und hat sich seitdem auch nicht wieder erholt.
    MfG
    Ja alles Scheiße , Team Scheiße, Tracker Scheiße, was machst du dann noch bei uns? Lösche dein Account wenn alles so Scheiße ist und gut ist.

    greetz
    Missi
    Last edited by Missi; 09.01.19 at 20:03.

  4. #32

    Join Date
    20.04.14
    Location
    NRW
    P2P Client
    rtorrent
    Posts
    18
    Activity Longevity
    0/20 12/20
    Today Posts
    0/5 sssssss18
    Ihr seid und bleibt ein Scheiß Tracker
    Thanks

  5. Who Said Thanks:

    waffi (28.01.19)

  6. #33

    Join Date
    12.01.11
    P2P Client
    µTorrent 1.6.1
    Posts
    20
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 sssssss20
    Und wenn man sich dort löschen lassen will, deaktivieren sie einen nur. Unmöglich sowas.
    Thanks

  7. Who Said Thanks:

    Flux (24.03.19)

  8. #34
    Missi
    Hallo,
    das tut mir leid das du so eine Erfahrung machen musstest bei uns. Natürlich löschen wir auf bitten eines Users die ACC´s. Bitte teile mir deinen Usernick mit und ich werde diesen sofort löschen.

    greetz
    Missi

  9. #35

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    Quote Originally Posted by verbatim52x View Post
    Und wenn man sich dort löschen lassen will, deaktivieren sie einen nur. Unmöglich sowas.
    stehst dann trotzdem noch in der DB drin, da könnt ich wetten für.

    Quote Originally Posted by Turnschuh View Post
    Ihr seid und bleibt ein Scheiß Tracker
    scheiße vielleicht nicht, aber vielleicht einfach nur eine falsche Führung.
    Last edited by Flux; 24.03.19 at 12:32. Reason: was vergessen
    Thanks

  10. #36

    Join Date
    26.03.15
    P2P Client
    rTorrent
    Posts
    2
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 ssssssss2
    Bin auf ein recheck gespannt.
    Last edited by Aetron; 24.03.19 at 17:13.
    Thanks

  11. #37

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    Quote Originally Posted by Aetron View Post
    Bin auf ein recheck gespannt.
    denke mal da wird es kein geben da es keine großen Veränderung gab.
    Last edited by Flux; 24.03.19 at 17:56.
    Thanks

  12. #38
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Quote Originally Posted by Missi View Post
    Rebound, wir kennen alle das Preview und deine Meinung zu TSC, ja der Umgang mit der Situation 2015 war nicht die feine Englische da gebe ich dir recht, musst jetzt aber nicht hier noch 10 Jahre drauf rum reiten.
    Das wichtigste zu der damaligen Situation ist doch das die Lücken umgehend gefixt wurden.
    Gerne können wir uns mal zusammen setzen wenn der Tracker wieder richtig läuft und ggf. neu testen, das dieser Shitstorm mal ein ende hat hier.
    Beim Durchforsten der Reviews nach Fehlern ist mir dieser Beitrag gerade aufgefallen, den ich scheinbar nie kommentiert habe.
    Du hast Recht. Jeder Tracker sollte das Recht auf Wiedergutmachung erhalten. Das gilt natürlich auch für TSC. Aber deine Aussage verwundert mich schon etwas, weil sich seit dem Review hier nie jemand bei mir gemeldet hat von euch. Das Interesse an einer Wiedergutmachung kann also nicht besonders groß sein. Auch das spricht leider für sich.

    Es heißt außerdem Review und nicht Preview.

    Quote Originally Posted by Verification View Post
    Ich denke nicht, dass Rebound einen Tracker zwei mal testen würde. Die Gefahr nichts zu finden und dann ein unsafe (= epischer Sieg) in ein safe zu wandeln würde er nicht machen.
    Das ist nachweislich nicht korrekt.


    Thanks

  13. Who Said Thanks:

    Darkman1965 (25.03.19) , Flux (25.03.19) , jupp56 (25.03.19)

  14. #39

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    Quote Originally Posted by Rebound View Post
    Beim Durchforsten der Reviews nach Fehlern ist mir dieser Beitrag gerade aufgefallen, den ich scheinbar nie kommentiert habe.
    Du hast Recht. Jeder Tracker sollte das Recht auf Wiedergutmachung erhalten. Das gilt natürlich auch für TSC. Aber deine Aussage verwundert mich schon etwas, weil sich seit dem Review hier nie jemand bei mir gemeldet hat von euch. Das Interesse an einer Wiedergutmachung kann also nicht besonders groß sein. Auch das spricht leider für sich.

    Es heißt außerdem Review und nicht Preview.



    Das ist nachweislich nicht korrekt.
    und Interesse bestand auch nicht wirklich da sonst in den Jahren schon längst hätte was passieren können von TSC Seiten her, zumindest wird es danach gestellt das man Hilfe in Anspruch nimmt.
    aber das wird vermutlich e nur heiße Luft sein. und das Review ist schon 4 Jahre her , da wird immer noch mit der alten Source Rum Getümmelt
    Last edited by Flux; 25.03.19 at 21:05.
    Thanks

  15. #40
    Missi
    Quote Originally Posted by Rebound View Post
    Beim Durchforsten der Reviews nach Fehlern ist mir dieser Beitrag gerade aufgefallen, den ich scheinbar nie kommentiert habe.
    Du hast Recht. Jeder Tracker sollte das Recht auf Wiedergutmachung erhalten. Das gilt natürlich auch für TSC. Aber deine Aussage verwundert mich schon etwas, weil sich seit dem Review hier nie jemand bei mir gemeldet hat von euch. Das Interesse an einer Wiedergutmachung kann also nicht besonders groß sein. Auch das spricht leider für sich.

    Es heißt außerdem Review und nicht Preview.



    Das ist nachweislich nicht korrekt.
    Naben´s mein lieber Rebound,

    natürlich haben wir damals das Review ernst genommen und unser Coder hat diese Lücken umgehend geschlossen.

    Mich regt auf das man hier keine normale Konversation führen kann da nur rum gepöbelt wird, alles ist Scheiße und Mist und das ohne jegliche Grundlage.

    Warum sollten wir unsere Source wechseln?
    Warum sollen wir alles auf den Kopf stellen wenn es auch anders geht?


    Ich/wir sind gerne Gesprächsbereit solltest du in Erwägung ziehen uns neu zu testen, sofern du das nicht schon getan hast

    Gerne stellen wir dir einen Account zur Verfügung oder eine Test Source mit einer Spieglung vom TSC, wir sind da für alles offen.

    greetz
    Missi
    Last edited by Missi; 25.03.19 at 22:30.

  16. #41
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Dann schreibe mir doch bitte eine PN Missi. Sowas gehört hier nicht hin.


    Thanks

  17. #42

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    Account zur Verfügung stellen ? dann wisst ihr ja genau wie und was ihr schließen könnt bzw. wo man kein direkten zugriff bekommt ergo ein kontrollierten ACC .
    wohl noch mehr angst davor das ein Unsafe wieder kommt was , aber das ist bei der Führung ja auch kein wunder.

    Gerne stellen wir dir einen Account zur Verfügung oder eine Test Source mit einer Spieglung vom TSC, wir sind da für alles offen.
    eine Spiegelung ? so was muss im live betrieb gemacht werden , wer weiß in wie weit die Spiegelung bearbeitet wurde von dir/euch.
    Last edited by Flux; 26.03.19 at 11:00.
    Thanks

  18. #43
    Missi
    Quote Originally Posted by Flux View Post
    Account zur Verfügung stellen ? dann wisst ihr ja genau wie und was ihr schließen könnt bzw. wo man kein direkten zugriff bekommt ergo ein kontrollierten ACC .
    wohl noch mehr angst davor das ein Unsafe wieder kommt was , aber das ist bei der Führung ja auch kein wunder.



    eine Spiegelung ? so was muss im live betrieb gemacht werden , wer weiß in wie weit die Spiegelung bearbeitet wurde von dir/euch.
    Hallo Flux,

    du gehst mir mit deinen Kommentaren einfach nur auf die Nerven, da kommt rein gar nichts Konstruktives, ich höre nur Scheiß Führung usw. . Ebenfalls frage ich mich woher du Wissen willst das nichts verändert wurde, nur weil nichts Graphisches getan wurde heißt das ja nicht das auch nichts für die Sicherheit getan wurde.

    Ich bitte dich wenn du nicht´s nennenswertes Beitragen kannst einfach deinen Mund zu halten.

    Wir haben keine Angst vor einem Unsafe, wenn das so ist schließen wir die Lücken genau wie 2015.
    Wir sind durchaus in der Lage zu erkennen wo und was jemand gemacht hat bzw in diesem Fall Rebound und diese Lücken zu schließen. Anders wie damals ist es jetzt so das ich so ein Review natürlich nicht noch mal haben möchte daher zeige ich mich Kommunikativ da nicht der Angriff damals das große Problem war sondern wie damit umgegangen wurde.

    Also mal schön den Ball flach halten wir werden ja sehen was bei rauskommt.

    greetz
    Missi
    Last edited by Missi; 26.03.19 at 13:18.

  19. #44

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    man wird´s sehen und erleben auch wenn, bzw. falls das neue Review (oder wie sagst du "Preview") als Safe auftauchen sollte.
    man ist geprägt aus den vergangenen Jahren , und ich denke mal nicht das die User es selbst wissen.
    viele sind eben bisschen schlauer wie du oder andere von dort.

    aber lassen wir es mal so stehen und lassen dir/euch den glauben, wer hoooooch fliegt wird sehr tiiief fallen.

    und wir werden zu schauen und

    Zitat Zitat von pombaer Beitrag anzeigen
    100%? Nun sind wir aber alle gespannt auf die neue Source (Edith: war wohl nix noch immer der alte Schund).
    Wer hat was von einer neuen Source gesagt? War nie die Rede von.
    da wird heute noch drauf gewatet , merkst du was
    Last edited by Flux; 26.03.19 at 13:37.
    Thanks

  20. #45

    Join Date
    26.03.19
    Posts
    2
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 ssssssss2
    Quote Originally Posted by Flux View Post
    man wird´s sehen und erleben auch wenn, bzw. falls das neue Review (oder wie sagst du "Preview") als Safe auftauchen sollte.
    man ist geprägt aus den vergangenen Jahren , und ich denke mal nicht das die User es selbst wissen.
    viele sind eben bisschen schlauer wie du oder andere von dort.

    aber lassen wir es mal so stehen und lassen dir/euch den glauben, wer hoooooch fliegt wird sehr tiiief fallen.

    und wir werden zu schauen und



    da wird heute noch drauf gewatet , merkst du was
    Wenn du im waren Leben auch immer das letzte Wort haben musst, dann tust mir leid. ...... greetz
    Thanks

  21. Who Said Thanks:

    Flux (26.03.19)

Closed Thread
Page 3 of 4 FirstFirst 1234 LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •