Tracker: Luzifers Fallen Angel
Source: NV-Source

Im Rahmen unserer TOG-Reviews haben wir Luzifers Fallen Angel etwas eingehender untersucht.


Serversicherheit

OS: Linux, Debian 8
Webserver: Apache 2.4.10
SSH: OpenSSH 6.7p1 Debian 5+deb8u7
MySQL: 5.5.62

SSH liegt nicht auf dem Standardport, dafür allerdings Webmin. Die Apache Version ist von 2014 und sollte mal aktualisiert werden. Die Liste der Exploits ist lang: https://www.cvedetails.com/vulnerabi...er-2.4.10.html.
Eine Firewall konnten wir nicht feststellen. Falls eine existiert, ist sie in ihrer derzeitigen Konfiguration nicht effektiv genug.

Erwähnen muss man an dieser Stelle noch den Serverstandort OVH in Frankreich. Als direktes Nachbarland und mit guten bilateralen Beziehungen zwischen Frankreich und Deutschland, ist der Standort kaum sicherer als Deutschland selber. Zudem hat sich OVH als Hoster für Tracker in der Vergangenheit nicht besonders bewährt.


Trackersicherheit

Wir waren kurz davor schon aufzugeben, weil der Tracker sowas von kaputt ist, dass man kaum navigieren kann. Wir haben es dann einfach gelassen und ein paar unserer Standard-Scans drüberlaufen lassen. Dies hat schon völlig ausgereicht, um mehrere Lücken ausfindig zu machen. Wir haben auch hier auf weitere Proofs verzichtet, da wir keine Lust hatten in den Datenbanken rumzustochern, bis wir irgendwann mal die richtige für den Tracker gefunden haben.
Erwähnen muss man auch hier eine völlig fehlerhafte Konfiguration von Webserver und Datenbank. Teilweise ging gar nichts mehr, obwohl wir noch relativ human getestet haben. Es gab dann auch so eine hübsche Fehlermeldung wie man sie seit 1995 nicht mehr sieht.



Proof

Datenbanken
  • bastel2
  • black
  • information_schema
  • mysql
  • performance_schema
  • phpmyadmin
  • ttt
  • waiti
  • wogbackup
  • wogtt1
  • wogtt2



Fazit

Der Trackerbetreiber hat uns zwar freundlicherweise einen Account zum Testen zur Verfügung gestellt, am Ergebnis ändert das aber wenig.
Satz mit X, das war wohl nichts.