Tracker: FTS (Freaks Tracking System)
Source: Woltlab Burning Board mit (vermutlich customized) Torrent-Tracker-Support
Eigentlich sollte es für diesen Tracker gar kein Security-Review mehr geben. Das Ende schien beschlossene Sache und FTS wollte am 01.01.2017 die Pforten schließen. FTS haben wir uns schon vor einigen Wochen genauer angeschaut, wollten aber aus Respekt vor ihrer Entscheidung nicht noch unnötig Öl ins Feuer gießen.
Nach letzten Meldungen wurde die Schließung jedoch abgewendet, weshalb einem Review an dieser Stelle nichts mehr im Wege steht.
Als kleiner Appetizer hier noch ein Zitat von einem Benutzer vom FTS-Tracker (aus dem Schließungs-Thread):
Diesem wollen wir natürlich gerne nachkommen, auch wenn das Ergebnis wohl alles andere als zufriedenstellend sein dürfte.Und ich muss zugeben, dass ich bei sb-innovation gerne einen Test zum FTS gesehen hätte. Natürlich nur um zu lesen, dass der FTS der beste, der besten, der besten ist
Serversicherheit
OS: debian 8
WWW: nginx 1.6.2
SSH: 6.7p1, 5+deb8u1
PHP: 5.6.17-0+deb8u1
Serverstandort bei OVH in Frankreich ist nicht die beste Wahl, was bei dem kürzlichen what.cd Bust auch wieder bestätigt wurde. In der Regel fällt die Wahl auf OVH aufgrund der günstigen Preise. Etwas mehr Privatsphäre kostet nämlich.
Vom Standort abgesehen, scheint der Server keine Firewall zu haben und bietet mehrere RPC Ports an. Ein weiterer hoher Port, dessen Zweck wir nicht weiter ermittelt haben, ist ebenfalls noch offen. Das Hauptproblem ist allerdings SSH, welches in der vorliegenden Version eine bekannte Schwachstelle hat.
Alles in allem zeigt sich hier das gleiche Bild wie auch bei den meisten unserer anderen Reviews: Eine schlecht gewartete Standardkonfiguration, die in diesem Fall sogar noch über Sicherheitslücken verfügt, die seit Monaten bekannt sind.
Trackersicherheit
Die eingesetzte Forensoftware ist schlecht (oder gar nicht?) gewartet. Die verwendete Version ist in die Jahre gekommen und verschiedene Fehlermeldungen lassen sich an vielen Stellen produzieren. Ebenfalls scheint die eingesetzte PHP Version nicht hundertprozentig kompatibel mit der WBB-Version zu sein. Angriffspunkte dürften sich einerseits mit bekannten Exploits ergeben, andererseits sind natürlich auch die Teile der Software angreifbar, die in Eigenregie hinzugefügt wurden. Wir waren deshalb ziemlich überrascht über den mutigen Schritt den Tracker zu schließen. Leider wurde dann doch die falsche Entscheidung getroffen, indem man ihn weiterlaufen lässt.
Öffentliche Forensoftware ist in der Regel sehr schwer zu knacken, da Sicherheitspatches vom Hersteller zeitnah zur Verfügung gestellt werden. Uns ist es dennoch gelungen, einige Schwachstellen in der Software auszumachen, welche dann letztendlich zu einem kompletten Zugriff auf die Datenbank geführt haben. Proofs folgen.
Auszug aus der Benutzertabelle
userID password username rankID registrationIpAddress 4 aumoralus@*.de 872852f709b8161de8bf345df537f267c6d64287 Sajen 0 62.153.* 3933 info@can*.net 1fd9efe703bfeaa68a335c5e69cbf53e847485f7 haze angel 0 - 3934 georg*@luc*.de d9721a17109676cab0773c04ddc2b8506385626b profbss 0 - 3999 msto*@gmx.de 7f72445da2d191f70c56d62d4703fea8e6bd86cf bandun 0 - 23 Koenig*@googlemail.com 9b442c168c3e52b0969dd5248f935a0724be7d4b Hades 1 77.128.* 676 killer.*@gmx.de 040ac502d3c58fb0ce08125fb8528396780faf23 Killer Katze 1 - 51 brauner-*@hotmail.de 6030a61a709d98ff4fd68cd91b5e5efe36ef5e91 Black Samuray 2 84.58.* 79 obelix*@web.de f105548bfda0ca45011b4bb78d1031f1e04300b9 CrazyKenny 2 89.57.* 90 *kid@web.de bd53f3e42960427ee727b0abaacbba5cfa1aed78 mightythor 2 78.42.* 164 wize*@googlemail.com 6e664aeddb4cac6ef8e63b806fc3beb44157edb2 Nilz 2 81.210.*
Fazit
Es wäre klüger gewesen, die ursprüngliche Entscheidung beizubehalten. Dann hätte der FTS in Ruhe seinen Frieden finden können. So wird der Tracker jetzt doppelt bestraft. Erstens, die Weiterführung von lückenbehafteter Software die veraltet ist und zweitens, ein negatives Security-Review.
Bookmarks