Closed Thread
Results 1 to 12 of 12

Thread: Mafiosi-Clan (Recheck)

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    Mafiosi-Clan (Recheck)

    Tracker: Mafiosi-Clan
    Source: RTT-Source (angeblich, könnte aber auch alles andere sein)

    Dieser Tracker hat kürzlich schon ein Review erhalten und ist durchgefallen. Wir hatten dabei eine häufig auftauchende Lücke in einem TTT-Source Derivat gefunden, welche auch bei vielen anderen Trackern existierte (https://www.sb-innovation.de/showthr...der-TTT-Source). Daraufhin wurde das erste Review von diesem Tracker entfernt. Dies ist also gewissermaßen schon der "Recheck".

    Serversicherheit

    OS: Linux, Debian 8
    Webserver: nginx
    SSH: OpenSSH 6.7p1 Debian 5+deb8u8
    MySQL: 5.5.62-0+deb8u1


    Viel geändert zum letzten Mal hat sich nicht. Der Server steht immer noch in Frankreich bei OVH und die eingesetzte Software ist auch nahezu identisch. Einzig als Webserver läuft nun Apache statt nginx. Es gibt allerdings überflüssig viele offene Ports. Teilweise laufen Dienste sogar mehrfach. Allein 4 offene Ports fallen auf den Audio-Streaming-Server Icecast. Neben Icecast findet sich noch ein weiterer Port für Teamspeak 3, ein Port für SSH (kein Standardport) sowie zwei weitere Ports mit Diensten die wir nicht weiter zuordnen konnten (einer davon nutzt zumindest SSH). Also reichlich was los auf dem Server.

    Für die Firewall gilt das Gleiche wie bei den meisten anderen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert. Der Server hat bei keinem unserer Tests irgendeine Form von Widerstand gezeigt.

    Als Hoster OVH in Frankreich zu nutzen ist wie immer fahrlässig und hat mit Sicherheit nicht viel zu tun.


    Trackersicherheit

    Die Sicherheitslücke die wir hier gefunden hatten konnten wir immerhin nicht mehr ausnutzen. Allerdings hat es nicht lange gedauert bis wir eine der anderen üblichen Lücken ausgemacht hatten.

    Proofs

    Datenbanken
    • information_schema
    • mafiosi
    • mysql
    • performance_schema
    • phpmyadmin


    Auszug Benutzertabelle

    id username ip pin passhash
    2888 Doc© 77.20.* 5262 f118c3ac73e2c146dd82bf39*
    2915 Catalana 93.133.* 4590 d5189c59d4730b84697a3d6a*
    2916 Hunter 31.19.* 4590 981ea9400ef55f4b2e4d5bef*
    2927 deper 178.201.* 190 d99ef28f1ed3dabd1a76ef9c*
    2913 domi - 2666 0e714277b211fd76395aba84*
    2917 Stalker2710 - 1234 f8404e5d8da349844ffad42c*
    2918 Delpiero - 190 55e420c3c30c94bd23707cb6*
    2919 Viennacargo28 178.18.* 1156 6a2fa29c12027ee1fbb6192d*
    2936 reisender 89.244.* 0 8f2382b2677c824597d7c5c7*
    2923 lambarder - 112 2dd8a1afc2fbd3dd33db2c46*


    Fazit

    Es handelt sich hier mal wieder um eine hingeklatschte deutsche Standard-Source mit den üblichen Sicherheitsproblemen. Das Ergebnis überrascht daher wenig.



    Thanks

  2. Who Said Thanks:

    Snitlev (25.03.20) , waffi (23.03.20) , Hailogugo (23.03.20) , Großmutter (22.03.20)

  3. #2

    Join Date
    21.07.18
    Location
    Deutschland
    Posts
    11
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 sssssss11
    Um es nochmal festzuhalten ist dies keine TTT source, da ein source wechsel stattgefunden hatte. Desweiteren möchte ich anmerken das ich es höchst bedenklich finde das, sensible Daten aus der db gepostet werden gerade das User table mit passhash und pin. Ich bitte daher um eine unkenntlich machung. Da dieser Auszug den Usern massiv schaden kann, dies sollte klar sein.
    Thanks

  4. Who Said Thanks:

    wuffi1963 (31.03.20)

  5. #3
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Quote Originally Posted by Bluesteel View Post
    Um es nochmal festzuhalten ist dies keine TTT source, da ein source wechsel stattgefunden hatte.
    Steht ja auch dabei dass es möglicherweise keine TTT-Source ist. Wieso klärst du das nicht auf und nennst dann die richtige Source?

    Quote Originally Posted by Bluesteel View Post
    Desweiteren möchte ich anmerken das ich es höchst bedenklich finde das, sensible Daten aus der db gepostet werden gerade das User table mit passhash und pin. Ich bitte daher um eine unkenntlich machung. Da dieser Auszug den Usern massiv schaden kann, dies sollte klar sein.
    Mit den Daten kann niemand etwas anfangen. Daher ist es nicht sensibel. Wie das irgendjemandem schaden kann ist mir auch rätselhaft. Wenn wir gar keine Daten posten hat es ja keinen Effekt. Die wirklich sensiblen Daten wie E-Mail oder IP-Adresse wurden gar nicht veröffentlicht oder zensiert. Also unterstelle uns bitte keine Unwahrheiten.


    Thanks

  6. Who Said Thanks:

    (09.04.20)

  7. #4

    Join Date
    21.07.18
    Location
    Deutschland
    Posts
    11
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 sssssss11
    Also Punkt 1 ist dies eine zusammengeschusterte source aus nv Teilen die sich angeblich RTT nennt was auch immer der Name bedeuten soll.
    Zum zweiten kann mann mit Benutzer Namen id plus passhash sehr wohl schaden anrichten genaueres werde ich hier nicht zu Methoden des manipulieren von Daten schreiben, solltest du eventuell besser wissen als cheater.
    Von daher bitte ich dich nochmals um unkenntlich machen.
    Und im übrigen sind alle Daten einer fremden DB sensibel gerade wenn es aus dem User table kommt.
    Thanks

  8. Who Said Thanks:

    wuffi1963 (31.03.20)

  9. #5
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Quote Originally Posted by Bluesteel View Post
    Also Punkt 1 ist dies eine zusammengeschusterte source aus nv Teilen die sich angeblich RTT nennt was auch immer der Name bedeuten soll.
    Danke. Habe es mal ergänzt.

    Quote Originally Posted by Bluesteel View Post
    Zum zweiten kann mann mit Benutzer Namen id plus passhash sehr wohl schaden anrichten genaueres werde ich hier nicht zu Methoden des manipulieren von Daten schreiben, solltest du eventuell besser wissen als cheater.
    Die letzten 8 Stellen der Passhashes habe ich zensiert. Mehr ist nicht drin. Und Passhash ist nicht der Passkey. Hat also mit cheaten nichts zu tun.

    Quote Originally Posted by Bluesteel View Post
    Und im übrigen sind alle Daten einer fremden DB sensibel gerade wenn es aus dem User table kommt.
    Nicht wirklich.


    Thanks

  10. Who Said Thanks:

    (09.04.20)

  11. #6

    Join Date
    21.07.18
    Location
    Deutschland
    Posts
    11
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 sssssss11
    Und selbst ohne die letzten 8 stellen des hashes kann man es da reichen schon nutzername +id und in Zusammenhang mit den hashe mach ich da genug draus. Aber wie dem auch sei username +pin und ID ist sensibel genug.

    Zur untermauern der Tests muss es auch nicht unbedingt ein Auszug der db sein..
    Schade das mein bitten dahingehend auf Taube Ohren stößt
    Last edited by Bluesteel; 23.03.20 at 17:26.
    Thanks

  12. Who Said Thanks:

    wuffi1963 (31.03.20)

  13. #7
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by Bluesteel View Post
    Schade das mein bitten dahingehend auf Taube Ohren stößt
    wie wir an den beiträgen hier immer wieder sehen, ist vielen leuten der ernst der lage nicht klar. das zeigt sich z.b. auch an den vielen "echten" emails, mit denen sich die leute auf den trackern anmelden. darum müssen wir die dinge ungeschminkt darstellen. wir machen diese tests schließlich im interesse der benutzer.
    Your account has been disabled.
    Thanks

  14. #8

    Join Date
    21.07.18
    Location
    Deutschland
    Posts
    11
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 sssssss11
    Quote Originally Posted by Instab View Post
    wie wir an den beiträgen hier immer wieder sehen, ist vielen leuten der ernst der lage nicht klar. das zeigt sich z.b. auch an den vielen "echten" emails, mit denen sich die leute auf den trackern anmelden. darum müssen wir die dinge ungeschminkt darstellen. wir machen diese tests schließlich im interesse der benutzer.
    Wer im Interesse der Benutzer handelt würde dies wohl nicht tun! Es gibt wohl andere Möglichkeiten die Tests glaubhaft aufzuzeigen oder würdest du es gern sehen wenn deine Daten(egal welche) öffentlich gemacht werden? Ihr sagt immer ihr wollt user schützen, dabei setzt ihr sie einem immensen Risiko aus, daher nochmals mein bitten!
    Thanks

  15. Who Said Thanks:

    wuffi1963 (31.03.20)

  16. #9
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Die Betreiber unsicherer Tracker setzen ihre User einem Risiko aus. Nicht wir. Wer von Sicherheit keine Ahnung hat kann sich jederzeit freiwillig für Tests melden. Wer das nicht tut muss mit sowas dann eben leben.

    Vielleicht sollte man auch mal überlegen wo diese ganzen mit Lücken verseuchten Sourcen eigentlich herkommen. Ein nicht unerheblicher Anteil stammt aus dem Forum in dem du Moderator bist. Also mal lieber an die eigene Nase fassen.


    Thanks

  17. Who Said Thanks:

    waffi (24.03.20)

  18. #10

    Join Date
    21.07.18
    Location
    Deutschland
    Posts
    11
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 sssssss11
    Quote Originally Posted by Rebound View Post
    Die Betreiber unsicherer Tracker setzen ihre User einem Risiko aus. Nicht wir. Wer von Sicherheit keine Ahnung hat kann sich jederzeit freiwillig für Tests melden. Wer das nicht tut muss mit sowas dann eben leben.

    Vielleicht sollte man auch mal überlegen wo diese ganzen mit Lücken verseuchten Sourcen eigentlich herkommen. Ein nicht unerheblicher Anteil stammt aus dem Forum in dem du Moderator bist. Also mal lieber an die eigene Nase fassen.
    Zum ersten Absatz gebe ich dir gern Teilweise recht, sicher setzen diese Betreiber den User einem erheblichen Risiko aus. Nur du tust dies zusätzlich auch mit dem Posten von DB Inhalten (User Tabelle).

    Dein zweiter Absatz hingegen hat erstens mit der Kritik meinerseits nichts zu tun und desweiteren solltest Du wissen das die meisten Bugs und Lücken wenn erkannt immer wieder, fixe dafür bereitgestellt wurden und auch weiterhin werden. Zudem ist noch anzumerken das es weder konstruktiv noch angemessen ist die Schuld an einem speziellen forum oder Entwickler zu suchen.
    Last edited by Bluesteel; 24.03.20 at 15:43.
    Thanks

  19. Who Said Thanks:

    wuffi1963 (31.03.20)

  20. #11
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by Bluesteel View Post
    Zudem ist noch anzumerken das es weder konstruktiv noch angemessen ist die Schuld an einem speziellen forum oder Entwickler zu suchen.
    wenn eine software sicherheitsprobleme hat ist das selbstverständlich die schuld der macher. von wem sonst?
    und vertriebspartner, die diese verbreiten, obwohl sie um die probleme wissen, trifft logischerweise eine mitschuld.

    wie gesagt, der kalte-dusche-effekt ist leider nötig und mit einer zensierten kostprobe aus der datenbank ein akzeptabler kompromiß.
    Your account has been disabled.
    Thanks

  21. #12
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Ich weiß nicht genau ob hier einige Leute zu dumm zum Lesen und Verstehen sind oder wir zu kompliziertes Deutsch schreiben. Daher hier noch mal für alle zum Mitmeißeln in möglichst einfachen Hauptsätzen.

    1. Es gibt hier keine Zensur. Off-Topic, Spam oder andere Regelverstöße werden allerdings konsequent gelöscht.
    2. Die Security-Reviews sind für die Benutzer und nicht für die Betreiber. Wir erwarten von einem Betreiber, dass er einfache Sicherheitsstandards einhalten und seinen Benutzern eine grundlegende IT-Sicherheit bieten kann. Unsere Testmethoden müssen wir deshalb nicht offenlegen. Außerdem könnten diese Informationen von Dritten für weitere Angriffe auf Tracker missbraucht werden.
    3. Konstruktive Kritik ist jederzeit willkommen und gerne gesehen. Wir haben dafür ein Forum wo jeder gerne ein Thema erstellen kann. Ausdrücklich unerwünscht sind: Rumjammern, Beleidigen, haltlose Anschuldigungen/Behauptungen/Unterstellungen, Drohungen und alles weitere sinnfreie Geflame.


    Der Tracker scheint inzwischen runtergefahren worden zu sein. Daher,



    Thanks

  22. Who Said Thanks:

    HellsBells (01.04.20) , waffi (01.04.20) , Violence (01.04.20)

Closed Thread

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •