Closed Thread
Page 1 of 2 12 LastLast
Results 1 to 15 of 16

Thread: World of Tomorrow (WoT)

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    World of Tomorrow (WoT)

    Tracker: World of Tomorrow (WoT)
    Source: NV-Source Derivat

    Wieso die Domain "WORD-of-tomorrow" heißt und nicht "WORLD-of-tomorrow" wie der Trackername, wird wohl ein Geheimnis der Trackerbetreiber bleiben. Jedenfalls sieht allein das schon alles andere als professionell aus.

    Serversicherheit

    OS: Linux, Debian
    DB: MySQL 5.x
    SMTP: Postfix
    Webserver: Apache
    SSH: OpenSSH_6.7p1 Debian-5+deb8u3

    SSH läuft natürlich am Standardport. Login ist zwar nur via Key möglich, allerdings hielten die Verantwortlichen es wohl für überflüssig, den Port zu ändern. Wieso ein Mail-Server auf Port 25 laufen muss bleibt hier ebenfalls fraglich. Ein simples HTML-Formular was Nachrichten an den Staff weiterleitet dürfte es wohl auch tun. An dieser Stelle haben wir dann auch direkt die Tests am Server eingestellt. Das allererste was man bei einem frischen Server ändert, ist der SSH-Port. Dies wurde hier offenbar nicht für notwendig gehalten. Den restlichen Zustand des Servers kann man sich da schnell zusammenreimen.

    Trackersicherheit

    Bereits ohne überhaupt eingeloggt gewesen zu sein, konnten wir MySQL-Fehler produzieren. Mit etwas Geduld ist es wahrscheinlich möglich, den Tracker zu hacken, ohne überhaupt einen Account zu besitzen. Aus zeitlichen Gründen haben wir dies aber nicht weiter verfolgt. Zwar sind einige gängige Sicherheitslücken der NV-Source geschlossen gewesen, allerdings nicht alle. Dadurch war es nicht besonders schwierig, die Datenbank zu entführen.
    Zum Schluss wie immer ein paar Auszüge aus der Datenbank.

    Datenbanken

    • information_schema
    • MonCho
    • mysql
    • performance_schema
    • phpmyadmin


    Auszug aus der Benutzertabelle

    id username class ip added email passkey
    1 Waitinghill 49 217.95.*.* 2017-03-19 16:44:19 waitinghill@*.de adb85e6fa3aa841
    2 moncho 90 188.210.*.* 2017-03-19 16:45:16 ka*@myquix.de 07ebd874321ba36
    3 Thor 99 109.47.*.* 2017-03-19 16:52:22 mau*@web.de 32715c52d7ff789
    4 Cindy 90 79.254.*.* 2017-03-19 18:58:35 cindy@word-of-tomorrow.eu b3f700bb00e8e3f
    5 H3rakl3s 70 90.146.*.* 2017-03-19 19:26:26 H3rakl3s@*.* 53c2efce7c8a90b
    6 Testuser 0 79.254.*.* 2017-03-21 16:32:46 mau*@web.de 7fccae671f757a9
    7 Disaster 49 91.3.*.* 2017-03-22 21:57:31 kow*@googelmail.com 06a8e31a7eb5092
    8 Hexe 15 176.198.*.* 2017-03-28 19:16:05 na*@hotmail.de 2ada51565422f4e
    9 MaTo2 49 88.152.*.* 2017-03-28 20:14:23 mat*@*.de 3e68ec32150c082
    10 Sandmann 15 31.17.*.* 2017-03-28 20:35:17 ml*@gmx.net d1ccf352265d926

    Fazit

    Der Server ist schlecht konfiguriert und die NV-Source nicht gut (oder gar nicht?) gewartet. Ein Zugriff auf die Datenbank kann über mehrere Stellen erfolgen und wirft ein schlechtes Bild auf die Verantwortlichen.



    Thanks

  2. Who Said Thanks:

    tesastreifen (03.04.19) , WhiteKnight (29.09.17) , Freak69 (26.09.17) , albatros (19.09.17) , ImperaThor (19.09.17) , xJ9_ (19.09.17) , Flux (19.09.17) , Jodito (18.09.17) , flitzepo (18.09.17) , DarkGaMeR1911 (18.09.17) , Jackson312 (18.09.17)

  3. #2

    Join Date
    17.05.12
    Posts
    37
    Activity Longevity
    0/20 14/20
    Today Posts
    0/5 sssssss37
    Warum bin ich jetzt nicht überrascht?
    Thanks

  4. #3

    Join Date
    23.06.17
    Posts
    8
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 ssssssss8
    Also meiner Inforation nach hat sich der Coder dieser Seite dem Problem angenommen und will oder hat sich mit Rebound in Verbindung gesetzt,sowas gibt von mir persönlich eine DAUMEN HOCH. Wenn man so eine Security Review ernst nimmt zeugt davon das da ein bisschen Leidenschaft und Verantwortungsgefühl mit im Spiel ist …mal abwarten was wird
    LG
    Thanks

  5. Who Said Thanks:

    Freak69 (07.10.17) , WhiteKnight (29.09.17) , Flux (27.09.17) , Instab (26.09.17) , Rebound (26.09.17)

  6. #4
    Hat jemand was anderes erwartet? Bei einem Coder der die Source nur geklaut hat und nicht mal weiß wie sie funktioniert? Selten so nen schlechten Programmierer wie Thor gesehen, wobei man Ihn so nicht mal nennen dürfte, ist ja ne Beleidigung für alle die es können.

    Aber mit dem Tracker wird er noch sein großes Erwachen haben
    Thanks

  7. #5

    Join Date
    23.06.17
    Posts
    8
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 ssssssss8
    Quote Originally Posted by Sh4d0wL3x View Post
    Aber mit dem Tracker wird er noch sein großes Erwachen haben
    Klingt ja fast schon wie eine Drohung, aber ich bin der ansicht jeder hat mal klein angefangen ....
    Leben und Leben lassen mal sehn was wie es sich entwickelt

    in diesem Sinne
    LG
    Thanks

  8. #6

    Join Date
    01.08.09
    Location
    Deutschland
    P2P Client
    2.0.4
    Posts
    155
    Activity Longevity
    0/20 18/20
    Today Posts
    0/5 ssssss155
    Leben und Leben lassen mal sehn was wie es sich entwickelt !!!!!!!

    ist nichts gegen zu sagen """ Aber""" erst die Sicherheit im Griff haben und dann den Tracker öffnen für die User das würde mehr Sinn machen. Die source ist ja wie die von KW "fast" 1:1 übernommen worden . Die waren ja dort ehemalige Teammember..

    Done
    Last edited by Darkman1965; 01.10.17 at 22:57.
    Thanks

  9. Who Said Thanks:

    flitzepo (08.10.17) , Freak69 (07.10.17)

  10. #7
    WoT-Staff
    Join Date
    19.09.17
    Posts
    7
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 ssssssss7
    Wir arbeiten an dem Problem und werden uns explizit mit der Serversicherheit weiter beschaffen um gewisse Dinge in Zukunft zu vermeiden und diese ausmerzen zu können!
    Vielen Dank an diejenigen die unsere Source getestet haben und uns auf gewisse Sicherheitslücken hingewiesen haben!
    Wir sind schon in einigen Dingen tätig geworden, allerdings benötigt der Feinschliff noch seine Zeit!
    Sollte wir mit unseren Ergebnis zufrieden sein, werden wir auch als "safe" deklariert werden, denn das ist unser Ziel!
    Thanks

  11. Who Said Thanks:

    flitzepo (17.10.17)

  12. #8

    Join Date
    17.05.12
    Posts
    37
    Activity Longevity
    0/20 14/20
    Today Posts
    0/5 sssssss37
    Bleibt im Prinzip nur die Frage warum man dann nicht solange von Netz geht wenn man weiß das man Unsafe ist.
    Thanks

  13. #9
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by ImperaThor View Post
    Sollte wir mit unseren Ergebnis zufrieden sein, werden wir auch als "safe" deklariert werden
    nicht ganz. ein "safe" hängt davon ab ob wir zufrieden sind
    Your account has been disabled.
    Thanks

  14. Who Said Thanks:

    waffi (22.09.18) , kenvelo (20.10.17) , MonsterLag (20.10.17) , ImperaThor (19.10.17)

  15. #10
    WoT-Staff
    Join Date
    19.09.17
    Posts
    7
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 ssssssss7
    Wir blieben ruhig, haben hier und da noch was auszubessern, aber unsere Datenbank ist nicht mehr einsehbar!
    Thanks

  16. Who Said Thanks:

    DiePest (18.03.18)

  17. #11

    Join Date
    22.09.18
    Posts
    2
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 ssssssss2
    huhu kann das sein das der schon nicht mehr on ist?? habe mal auf den link gedrückt aber da kam bei mir nur seite nicht gefunden?!
    Thanks

  18. #12

    Join Date
    24.09.18
    Location
    Germany
    P2P Client
    utorrent 2.4
    Posts
    6
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 ssssssss6

    kommt wieder

    wird gerade umgebaut, kommt wieder.
    Thanks

  19. #13
    WoT-Staff
    Join Date
    19.09.17
    Posts
    7
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 ssssssss7
    Heute ist nicht alle Tage, wir kommen wieder keine Frage!
    Wir versuchen bis Ende dieser Woche wieder online zu kommen, wir starten aber keine hauruck Aktion um schnell wieder online zu kommen, sondern müssen viel anpassen und optimieren.
    Es wird eine andere Source geben, da unsere einfach zu sehr am Zahn der Zeit genagt hat!
    Alle die bei uns eine erreichbare e-Mail addy angegeben haben, werden bald darüber informiert, wie es weiter geht!
    Wer eine fake-email angegeben hat und versucht über die Recovery Funktion reinzukommen, dem wird die Rückkehr verwehrt!(es wurde oft genug darauf hingewiesen und Tipps gegeben)
    Unsere Registrierung bleibt auch nach dem Source-Wechsel geschlossen!
    Und wie immer gilt:

    Wär Rächtschraibfähla findet, darf sie behalten tun!
    Thanks

  20. Who Said Thanks:

    amseline (24.09.18)

  21. #14
    Hallo ihr lieben,

    wir sind nun mit einer neuen Source wieder online. Da leider unsere Datenbank mit der neuen Source nicht Kompatibel ist, musst du dich leider neu Registrieren.
    Bei der Registrierung gibst du bitte einen Secure Code nach deiner Wahl ein, der ist dann festgelegt und wird bei jedem Login Abgefragt.
    Wir werden die User-States, also deinen Up –und Download Händisch anpassen, dass natürlich etwas dauern wird. Die Files, die vorhanden waren, konnten leider auch nicht mit übernommen werden und somit müssen wir leider wieder von 0 anfangen.
    Im Moment ist die Source noch Standard, da wird in nächster Zeit noch der Style usw. Angepasst werden (so wie es jetzt ist, gefällt es mir gar nicht).
    Die Torrent Ansicht auf der Startseite, kannst du in deinem Profil von Ajax auf NV ändern, ich Persönlich finde die NV besser.
    Wir freuen uns, euch wieder bei uns begrüßen zu dürfen.

    Euer WoT-Team
    Ich werde mich da nicht wieder reggen.
    Die Leute da sollten Tomaten züchten oder sowas, und die Hände vom Tracker coden lassen.
    Soviel Theater und Downtimes wie es da wegen Unvermögen schon gab ist nicht mehr feierlich.
    Die User sollten versuchen was beim TS oder ähnlichen Trackern zu bekommen oder ganz die Finger davon lassen.
    Thanks

  22. #15
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Da leider unsere Datenbank mit der neuen Source nicht Kompatibel ist, musst du dich leider neu Registrieren.
    Die Files, die vorhanden waren, konnten leider auch nicht mit übernommen werden
    oder anders ausgedrückt: die betreiber haben keine ahnung von dem was sie tun.
    Your account has been disabled.
    Thanks

  23. Who Said Thanks:

    Nemesis (12.11.18) , vatio (03.10.18) , xJ9_ (30.09.18) , Tortienator (27.09.18) , Rebound (27.09.18)

Closed Thread
Page 1 of 2 12 LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •