Closed Thread
Page 3 of 4 FirstFirst 1234 LastLast
Results 31 to 45 of 51

Thread: Torrent Network

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    Torrent Network

    Tracker: Torrent Network
    Sources: TB-Source 09; selfcoded Java-based-Tracker

    Es gibt immer noch einen Haufen Tracker, die ich noch nicht geprüft habe. Heute widme ich mich mal dem Torrent Network. Der Tracker gehört mittlerweile zu den Ältesten und auch dort sind schon einige SysOp-Generationen durchgebracht worden. Wie es bei dem Tracker um die Sicherheit bestellt ist, habe ich mir mal genauer angesehen.

    Serversicherheit

    MySQL: 5.0.12
    Webserver: nginx (3 zusätzliche)
    Mail: Postfix
    SSH: OpenSSH 5.3

    Abgesehen vom http/s Dienst an den Standardports stehen noch drei weitere an höheren Ports bereit. Es findet sich auch ein Postfix und ein altes SSH was auf eine ähnlich alte Version des Betriebssystems schließen lässt.
    Eine Firewall war nicht festzustellen. Sollte eine solche existieren, ist sie ziemlich nutzlos. Eine über zehn Jahre alte MySQL Version ist zwar grundsätzlich keine Sicherheitslücke, aber allein wegen dem Performancezugewinn wäre ein Update wünschenswert.

    Trackersicherheit

    Torrent Network scheint es mit der Sicherheit nicht so genau zu nehmen und hat gleich zwei Tracker parallel laufen, die die selbe Datenbank benutzen. Dies ist aus mehreren Aspekten eine sehr schlechte Idee. Zum einen gibt es eine unnötige Doppelbelastung des Servers (insbesondere der Datenbank), zum anderen gibt es so natürlich auch doppelte Angriffsfläche für einen möglichen Angreifer. Es laufen einmal eine etwas in die Jahre gekommene TB-Source und dann ein offenkundig selbst geschriebener Tracker, der auf Java(script) basiert. Besonders spannend bei diesem Java-Frontend: Man kann ohne überhaupt eingeloggt zu sein die Seitenstruktur und somit Inhalte, die erst nach dem Login sichtbar sein sollten, sehen.
    Kommen wir zum sensiblen Teil dieser Kategorie, den Sicherheitslücken. Wie bereits angesprochen sind zwei Plattformen als Angriffsziel natürlich für einen potenziellen Hacker wie eine Einladung auf dem Silbertablett. Es war zwar nicht so einfach, aber es ist mir wieder einmal gelungen Zugriff auf die Datenbank und sämtliche Teile des Trackers zu erlangen.
    Ich habe mich dieses mal wieder für ein paar Screens von einem Sys0p Account entschieden, weil Tabellen mit Daten aus der Datenbank doch etwas trocken sind auf Dauer. Hier jetzt also ein paar interne Screenshots (TB-Source):

    Stafftools



    MySQL Stats


    Uploader Stats


    Doppelaccounts


    Auszug aus der Usertabelle
    added class email secret passkey username passhash
    1274528211 0 sys*@web.de !7}Vu 875d36cbd2cc7015720e4098fd5d6984 Holzfuß 85f1e507c4bc99c21f49df6e8d56bad7
    1274566999 70 den*@hotmail.de |A^bO 261e07e5559e1646c7eef0bbe16c9d2f TOMTOM 45cb79d8a49f73c5adcec4e3d63b7180
    1275307293 1 meis*@hotmail.de KPdj; 4ffd1c8165c66e28b3feecd2c1dbfd2d Meisterpropper a9b569d5c26780b174e4c8d91e45b0ab
    1275483911 18 free*@googlemail.com P7]mW 69b88d582bdb6d144050e22280d505e9 Chakka be807691ac2efe8437dbc970f78a6e54
    1275585770 18 bo*@hotmail.de FI&ap d4475b6a948011bcb182ad45d31d49dc WurstPelle cb7e5a53d72644e4082489364a485ae7
    1275860791 18 96ja*@gmail.com V[c+! 7cfab9414b5739c1bdf05afd18093c04 jackbauer 1737ba9dc2c10bdbf7ac797ba219d780
    1275860851 70 sound*@hotmail.com >kJ'' d8e77773d3a21eafcbf9d17b0ce6185f SoundmixDJ 2aaa8208a9fbda39f2b99e90674dbcf5
    1275933665 1 hor*@hotmail.de Q8CZa 0c6b79d57b71209b544404ead36e1ce3 Gartenzwerg 37669d24bd140c528ea386329168adf5
    1275942558 1 red*@arcor.de yV3aM 22f5b07b2d46a2fd3af6fce98a899212 jason a39566165fe3528764126ec736cccf05
    1275947749 40 ro*@freenet.de 'z)Gc f149085edb1c419da52d247b4d8dc66e ZoRo 431f248bcddc5eb816e089bf862d7822
    1275981241 20 ed*@gmx.de 3}0<+ 57f6673e25e1f83ffcae15b424f4d72a Edd186 28930e81c947897c57ac7d79c7dff700
    1276104098 1 darth*@web.de .FXhR 9e3be93144f8fa83a6ef7e013b37a740 Pennywise 33d0c688182c00a89e0a49b1d983c02c
    1277810527 0 d.d*@atas.cz U(5i{ 1d30b0aefdf89dc21d0a4a8a9251c4b1 Geronimo eed2c74334c54f2b18094f0781840439
    1277821853 1 c*@googlemail.com jzu8w 5838adf8d7e8501f841464cc9a9fe53f Ammari f95b35a66d80f816a909a48643e812c4
    1275942558 1 red*@arcor.de yV3aM 22f5b07b2d46a2fd3af6fce98a899212 jason a39566165fe3528764126ec736cccf05
    1277883492 1 no*@gmx-topmail.de ['Hnz 006085e2b456b63106486bd84f095c7e fatfred 47a4234c1e705681bb04ed352a3c38b1
    1277897764 1 ano*@web.de P2Q"H dff921a516c15d8783c3a3eb7e0a5af9 gitta 092ee59ec86aee5d2b67e999a4ba3572

    Fazit

    Der Weggang von Cloudflare hat mir natürlich in die Hände gespielt und gleichzeitig offengelegt, dass die Betreiber mehr Zeit in Wartung und Konfiguration des Servers stecken sollten. Bedenkt man den modernen aber fraglichen Ansatz der neuen Java-basierten Seite, stellt sich die Frage, ob die Betreiber ihre Bemühungen an den richtigen Stellen investieren. Man sollte sich für eine Source entscheiden und nicht auf zwei Hochzeiten gleichzeitig tanzen. Die TB-Source als Basis ist nicht die aller schlechteste und kommt in Deutschland auch selten zum Einsatz. Als Endbenutzer würde ich mich allerdings nach Alternativen umsehen, der Java-Tracker war nämlich offenkundig ein Griff ins Klo. Dazu die angebliche Sperre von Cloudflare, sollte sämtliche Alarmglocken klingeln lassen. Die Höhe der Bitcoin Spenden kann man übrigens hier einsehen: https://blockchain.info/address/1AqZ...VEzTrn3ySNnQnS



    Thanks

  2. Who Said Thanks:

    (16.01.20) , tesastreifen (03.04.19) , Quasar (15.06.17) , blood (03.02.16) , frido (01.02.16) , LaTorrenta (30.01.16) , Darkman1965 (29.01.16) , corregidor (29.01.16) , Würfelzucker (29.01.16) , xJ9_ (29.01.16) , Snitlev (29.01.16) , Instab (29.01.16) , Großmutter (28.01.16) , Lucius (28.01.16) , Freak69 (28.01.16)

  3. #31

    Join Date
    14.01.11
    P2P Client
    µtorrent
    Posts
    28
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 sssssss28
    Hab lange überlegt ob ich vll. auch mal meinen Senf dazu gebe bzw. mich dazu äussere und hab mich für "NEIN" entschieden
    Thanks

  4. #32
    Endlich mal ein sinnvoller Kommentar...
    Thanks

  5. Who Said Thanks:

    Rebound (02.04.16)

  6. #33

    Join Date
    07.06.15
    P2P Client
    Utorren
    Posts
    95
    Activity Longevity
    1/20 11/20
    Today Posts
    0/5 sssssss95
    Gibts was neues hier zum thema sicherheit ? Ich bin schon lange da angemeldet aber seit dem test traue ich mich nix mehr zuladen
    Thanks

  7. #34

    Join Date
    16.09.10
    Location
    Germany
    Posts
    384
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 ssssss384
    Mich würde ehrlich gesagt die neue "Final" Source Interessieren. Ob die nun aufgrund Java noch mehr lücken vorweist oder ob die Lücken vermehrt wurden.
    Thanks

  8. #35

    Join Date
    23.01.16
    Location
    Deutschland
    P2P Client
    rtorrent 0.9.8
    Posts
    27
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss27
    Quote Originally Posted by Freak69 View Post
    "Final" Source
    Soweit ich das mitbekommen habe, ist die Source noch nicht Final?
    Thanks

  9. #36

    Join Date
    04.06.17
    Posts
    21
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 sssssss21
    Quote Originally Posted by xJ9_ View Post
    Soweit ich das mitbekommen habe, ist die Source noch nicht Final?
    Final ist sie ganz und garnicht, aber man bekommt sie seit neuesten aufgezwungen, was diesen Tracker in den größten Misthaufen verwandelt :(
    Thanks

  10. #37

    Join Date
    15.02.12
    Posts
    87
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 sssssss87
    Lol, die beta lief über ein Jahr nebenher, wenn ihr die nicht genutzt habt um euch dran zu gewöhnen, kann man da nix machen. War lange bekannt das es früher oder später so kommen wird und die alte abgeschaltet wird
    Thanks

  11. #38
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Quote Originally Posted by Jackson312 View Post
    Lol, die beta lief über ein Jahr nebenher, wenn ihr die nicht genutzt habt um euch dran zu gewöhnen, kann man da nix machen. War lange bekannt das es früher oder später so kommen wird und die alte abgeschaltet wird
    Wieso sollte man die benutzen wenn die Scheiße ist und es eine vernünftige Alternative gibt? Das war doch von Anfang an absehbar, dass das mit der neuen Java-Source in die Hose geht. Ich kann mich an eine Umfrage erinnern, wo die neue Source sehr schlecht weg gekommen ist und es haben sich bis heute auch immer wieder viele User darüber beschwert. Der Coder hat da von Anfang an einfach nur "sein Ding" durchgezogen und was die User wollen war ihm scheißegal. Jetzt hat man eine Source die kein Stück performant ist und ohne Ende Overhead hat. Hätte man sich auch nur ein Stück für die User interessiert, hätte man frühzeitig erkannt, dass es in die falsche Richtung geht.

    Jetzt zu sagen, dass man ja Zeit gehabt hätte sich zu gewöhnen, ist fast ein bisschen unverschämt. Glücklicherweise gibt es noch TS und (hoffentlich bald wieder) BTF, dann muss man sich diesen Schrott nicht länger angucken.


    Thanks

  12. Who Said Thanks:

    Freak69 (11.06.17) , TrackerTester (09.06.17) , Instab (09.06.17) , R00R (08.06.17)

  13. #39

    Join Date
    04.06.17
    Posts
    21
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 sssssss21
    Quote Originally Posted by Jackson312 View Post
    Lol, die beta lief über ein Jahr nebenher, wenn ihr die nicht genutzt habt um euch dran zu gewöhnen, kann man da nix machen. War lange bekannt das es früher oder später so kommen wird und die alte abgeschaltet wird
    Beta einmal getestet, als MEGA Scheisshaufen empfunden, wieder zur NV Source gewechselt und gehofft, dass der Tag X nicht kommen wird (oder der Coder sieht wie müllig das doch geworden ist). Habe damals auch schon konstruktives Feedback gegeben, was nicht einmal dem Team eine Antwort wert war.

    Wie Rebound schon sagt kann ich so fanboi gesabbel , nach dem Motto "es war lange genug zeit" echt nicht brauchen.
    Nicht mal die Styles sind ausgereift. Suche kaum bedienbar. Frisst CPU wie hölle. Ein Security Review von Rebound wäre allemal interessant. Ne danke.
    Account werde ich bis auf weiteres auf eis legen, wenn ich eine alternative gefunden habe. Beschissenerweise ist ja auch noch BTF weggefallen...
    Last edited by pombaer; 09.06.17 at 19:23.
    Thanks

  14. #40

    Join Date
    28.05.17
    Location
    TnT-WoT-Qu-BC-HDS-HDC-TS-BTF
    P2P Client
    µtorrent2.2.1- RT-FTP
    Posts
    45
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 sssssss45
    Leider aber nicht vom TS da habe ich nur noch meinen Usernamen(wenn man das an dieser stelle fragen darf).
    Hallo pombaer,

    geh auf deren HP (torrent-syndikat.org) und wende dich dort an den IRC da reichen ein paar Daten aus wie zb. dein Benutzername.
    Thanks

  15. #41

    Join Date
    15.02.12
    Posts
    87
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 sssssss87
    Das du da keine Antwort bekommen hattest tut mir leid pombaer.
    aber die alte war tbdev und nicht nv source
    Thanks

  16. #42

    Join Date
    16.09.10
    Location
    Germany
    Posts
    384
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 ssssss384
    Quote Originally Posted by xJ9_ View Post
    Soweit ich das mitbekommen habe, ist die Source noch nicht Final?
    Deshalb auch "Final" - dass die Source weit von Final ist, merke ich selbst, deshalb nutze ich den Tracker nicht mehr.

    Quote Originally Posted by xJ9_ View Post
    Soweit ich das mitbekommen habe, ist die Source noch nicht Final?
    Nie und nimmer, sowas den Usern unter die Nase zu reiben, ist für mich absolut nicht nachvollziehbar.

    Quote Originally Posted by Jackson312 View Post
    Lol, die beta lief über ein Jahr nebenher, wenn ihr die nicht genutzt habt um euch dran zu gewöhnen, kann man da nix machen. War lange bekannt das es früher oder später so kommen wird und die alte abgeschaltet wird
    Da ist genau der Punkt, sie lief nebenher und User konnte sich freiwillig anschauen und wurde nicht einfach aufgedrückt. Es riecht meiner Meinung nach etwas nach Arroganz, mit diesem Kommentar.

    Quote Originally Posted by Rebound View Post
    Wieso sollte man die benutzen wenn die Scheiße ist und es eine vernünftige Alternative gibt?
    Du bringst es genau auf den Punkt!

    Quote Originally Posted by pombaer View Post
    Beta einmal getestet, als MEGA Scheisshaufen empfunden, wieder zur NV Source gewechselt und gehofft, dass der Tag X nicht kommen wird (oder der Coder sieht wie müllig das doch geworden ist). [...] Wie Rebound schon sagt kann ich so fanboi gesabbel , nach dem Motto "es war lange genug zeit" echt nicht brauchen.
    Nicht mal die Styles sind ausgereift. Suche kaum bedienbar. Frisst CPU wie hölle. Ein Security Review von Rebound wäre allemal interessant. Ne danke.
    Account werde ich bis auf weiteres auf eis legen, wenn ich eine alternative gefunden habe. Beschissenerweise ist ja auch noch BTF weggefallen...
    Ich hab auch versucht mich vier oder fünf mal mit der Java Source anzufreunden, aber die Übersicht ist war und einfach eine Katastrophe...
    Thanks

  17. #43

    Join Date
    15.02.12
    Posts
    87
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 sssssss87
    War nicht arrogant von mir gemeint, sorry wenns so rüber kam
    Thanks

  18. #44

    Join Date
    28.05.17
    Location
    TnT-WoT-Qu-BC-HDS-HDC-TS-BTF
    P2P Client
    µtorrent2.2.1- RT-FTP
    Posts
    45
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 sssssss45
    die neue Source ist wirklich Bullshit!..
    da kann man drum rum reden wie man will, es ändert an der tatsache aber nichts!
    Thanks

  19. #45
    HellsBells's Avatar
    Join Date
    12.06.17
    Location
    Überall dabei ;)
    P2P Client
    rTorrent
    Posts
    14
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 sssssss14
    Die alte Source lief auf alle Fälle besser. Die jetzigen Ladezeiten sind im Seitenaufbau sehr hoch, finde ich. Nichtsdestotrotz einer der besten und schnellsten Tracker im Netz.
    Thanks

Closed Thread
Page 3 of 4 FirstFirst 1234 LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •