Closed Thread
Page 2 of 6 FirstFirst 1234 ... LastLast
Results 16 to 30 of 86

Thread: The Shinning

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730

    The Shinning

    Tracker: The Shinning
    Source: veränderte NetVision-Source

    Dieses Security-Review beschäftigt sich mit dem Tracker „The-Shinning“. Anders als der Name erahnen lässt, gibt es leider nicht viel "scheinendes" zu vermelden in diesem Review.

    Serversicherheit

    Bis vor Kurzem konnte man noch die PHP-Info öffentlich einsehbar finden. Scheinbar hat das Borgzelle Review etwas Staub aufgewirbelt und die Admins von The-Shinning haben reagiert und das gute Stück entfernt. Natürlich habe ich die Infos vorsorglich gesichert.

    PHP-Version: PHP Version 5.3.3-7+squeeze26 (Aktuellste: 5.6.9)

    Nicht die neuste Version, allerdings gibt es keine nennenswerten Sicherheitsprobleme mit der 5.3.3, daher kein Grund zur Sorge.

    MySQL-Version: 5.1.73 (Aktuellste: 5.6.25)

    Hier gilt das Gleiche wie bei PHP. Zwar nicht aktuell, aber unbedenklich. Trotzdem sollte man natürlich nicht ewig warten bis irgendwann mal eine Sicherheitslücke entdeckt wird und versuchen, PHP/MySQL up to date zu halten.
    Die PHP-Info wurde wie bereits oben erwähnt entfernt. Sonst wäre dies ein Kritikpunkt gewesen.

    Trackersicherheit

    Der Tracker hat so viele Sicherheitslücken, dass man fast glauben muss, es steckt Absicht dahinter. Ich bin problemlos in die Datenbank gekommen und hätte sicherlich so einiges damit anstellen können.

    vorhandene Datenbanken:
    • information_schema
    • mysql
    • performance_schema
    • shinning


    Kleiner Auszug aus der Usertabelle:
    id class email username passhash
    1 13 the.shinning1@***.de Jackpot 99caa7a920e53bf11f4648e6747a61e9
    12 106 ctr2001@***.de skydog cac7b61043601ec458535a4974ddf765
    52 5 Michael866@***.de Michael866 9adac0a7cbdd7b8fadc86d882ff29de9
    87 3 sk8ramp1@***.com gtx b8f28c6fad2236bc8a7499552e09732a
    96 3 fielding71@***.de Harry e11ab0c65e543f4396c0a148159cd78a
    127 6 stefanw4@***.com cartman 8584b6c0b5e521850ec132b61157c17f
    148 6 kai-s-frank@***.de seimen f4454e179aee0e446c6411683f2de9e0
    157 3 funtasie@***.net Funtasie b4cad99138bc4683ed1d6a65723c1468
    162 3 memphistennessee@***.de Elvis da47d660795899e54124d7e4ecca5090
    175 6 bittor68@***.de goose 791fc48db5e0f73f684777bd72edecf7

    Passhashes sind zwecks Salt natürlich kaum zu knacken.

    Fazit

    Gäbe es ein Security-Review Ranking, wäre dieser Tracker bisher an letzter Stelle. Eklatante Sicherheitslücken innerhalb des Trackers gewähren Zugriff auf die komplette Datenbank und mit etwas Zeitaufwand kann man höchstwahrscheinlich den ganzen Tracker hacken und übernehmen. Auch The Shinning handelt grob fahrlässig und verlässt sich darauf, dass nur User ohne böse Absichten auf dem Tracker unterwegs sind. Wenn ich wollte, könnte ich einen kompletten Dump der Datenbank anfertigen und veröffentlichen.
    Das abschließende Fazit fällt daher vernichtend schlecht aus. Von diesem Tracker bloß die Finger lassen!



    Thanks

  2. Who Said Thanks:

    DevilsCut (20.03.19) , anthony-joal (18.03.18) , Mallenia (18.03.18) , DiePest (18.03.18) , xeplion (18.03.18) , sambule (18.03.18) , t0m (18.03.18) , Flux (18.03.18) , dirtsa27 (18.03.18) , matrix2003 (18.03.18) , scoville (18.03.18) , picasa (05.03.18) , Plex86 (05.06.17) , Blocker (10.04.16) , MonsterLag (30.03.16) , Instab (28.03.16) , Freak69 (26.03.16) , Lucius (26.03.16) , mmmmm (09.09.15) , rotzloeffel (25.06.15) , system28 (15.06.15) , blood (15.06.15) , Nagilum (15.06.15) , Snitlev (15.06.15) , corregidor (15.06.15)

  3. #16

    Join Date
    21.07.12
    Posts
    12
    Activity Longevity
    0/20 14/20
    Today Posts
    0/5 sssssss12
    sind die mailadressen ganz sichtbar?
    Thanks

  4. #17

    Join Date
    10.04.17
    Location
    GERMANIA
    P2P Client
    µtorrent
    Posts
    7
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 ssssssss7
    na wenn du dir nur gedanken um deine Mail adresse machst ......
    Thanks

  5. #18

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    Quote Originally Posted by xaserx View Post
    sind die mailadressen ganz sichtbar?
    wieso ?? haste angst weil du da vllt. drine stehst
    Thanks

  6. #19
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Quote Originally Posted by xaserx View Post
    sind die mailadressen ganz sichtbar?
    Ja natürlich sind die ganz sichtbar. Aber die haben wir natürlich absichtlich zensiert. Wir wollen ja keinen Usern schaden.


    Thanks

  7. Who Said Thanks:

    (12.08.17)

  8. #20

    Join Date
    21.07.12
    Posts
    12
    Activity Longevity
    0/20 14/20
    Today Posts
    0/5 sssssss12
    ne überleg deswegen rauszugehn, warum soll ich da bleiben gibt genug bessere Tracker ausserdem nützt meine email keinem was is auf Trashmail umgestellt^^ ich bewerb mich mal bei den sicheren könnte n paar invites gebrauchen für Turbowolke,Tracker Of Gods oder/und BestFriends ?sicher/unsicher
    Last edited by xaserx; 13.04.17 at 18:24.
    Thanks

  9. #21

    Join Date
    10.04.17
    Location
    GERMANIA
    P2P Client
    µtorrent
    Posts
    7
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 ssssssss7
    einmal mit profis zusammen arbeiten ...
    ne überleg deswegen rauszugehn, warum soll ich da bleiben gibt genug bessere Tracker
    stimmt aber dann stellt sich mir die frage wieso du dich dort erst vor x tagen angemeldet hast ...Erst hirn einschalten und dann Handeln
    Last edited by böserjunge; 13.04.17 at 18:45.
    Thanks

  10. #22
    The-Shinning-Staff
    Join Date
    27.03.16
    Posts
    9
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss9
    Sind ja wieder Ferien und die Kinder müssen wieder spielen.

    ne überleg deswegen rauszugehn, warum soll ich da bleiben gibt genug bessere Tracker ausserdem nützt meine email keinem was is auf Trashmail umgestellt^^ ich bewerb mich mal bei den sicheren könnte n paar invites gebrauchen für Turbowolke,Tracker Of Gods oder/und BestFriends ?sicher/unsicher
    Wenn Du invites suchst für bestfriends dann wende dich an den Spaßvogel Rebound
    Last edited by xtm; 13.04.17 at 19:46.
    Thanks

  11. #23

    Join Date
    21.07.12
    Posts
    12
    Activity Longevity
    0/20 14/20
    Today Posts
    0/5 sssssss12
    Haben die die Datenbank nicht mit Passwort gesichert oder warum kann mann da rein^^? Wahrscheinlich nur Benutzer root und kein PW oder^^. Is wohl aus mit invites BF tot.
    Der schöne skydog
    siehe oben email tabelle^^
    hat mich grad aufgefordert doch keine Spam Adresse zu nutzen^^.
    Bye Bye The Shining, ich komm wieder wenn ihr sicher seid . Zum Glück wurde die Spam Mail noch 1x an mich weitergeleitet, laut der darf ich nicht wiederkommen Lieber unbequeme User draußen halten die Sicherheit an erste Stelle stellen^^. Weiter so
    Last edited by xaserx; 14.04.17 at 15:39.
    Thanks

  12. #24

    Join Date
    21.07.12
    Posts
    12
    Activity Longevity
    0/20 14/20
    Today Posts
    0/5 sssssss12
    Klar kann mann sich nirgendswo sicher sein. Un das du die Email aus der eigenen Datenbank auslesen kannst ist auch schon mal ein Applaus wert^^. Aber die Sicherheit anderer bewusst aufs Spiel zu setzten wie du das gerade tust, ist was ganz anderes. Und ich bitte dich die Mail zu Löschen. Danke
    Last edited by xaserx; 14.04.17 at 18:03.
    Thanks

  13. #25

    Join Date
    10.04.17
    Location
    GERMANIA
    P2P Client
    µtorrent
    Posts
    7
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 ssssssss7
    es ist zwar schön das du bitte geschrieben hast aber ich sehe keinen Grund dafür die addy zu löschen ...
    Und nur so als Anhang könnte dir jetzt noch eine ganze liste sende bzw. hier rein setzen auf welchen seiten deine Mail überall auftaucht .....

    aber das würde jetzt hier zuweit gehen
    Thanks

  14. #26
    Machete
    Skydog ist der Coder dort !

  15. Who Said Thanks:

    flitzepo (07.10.17)

  16. #27

    Join Date
    23.06.17
    Posts
    8
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 ssssssss8
    Quote Originally Posted by Machete View Post
    Skydog ist der Coder dort !
    JA, aber da die seite jetzt im neuen Style und mit neuem Team besetzt ist wären mal weitere Infos nicht schlecht, ob sich uach was in sachen Sicherheit getan hat in diesem Betrieb. ;-).

    Das Forum dort ist auch sehr Intressant.
    Last edited by flitzepo; 09.10.17 at 12:20. Reason: nachtrag
    Thanks

  17. #28
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Wir haben uns den Tracker nun noch mal angeschaut. Es hat sich nahezu nichts getan im Bezug auf Sicherheit. Auf dem Tracker klaffen weiterhin gravierende Sicherheitslücken (und das nach fast 3 Jahren!) und der Server hat immer noch keine Schönheitskur bekommen.
    Ich glaube dies ist bisher auch der einzige Tracker, der nach einem Security-Review von uns nicht alles daran gesetzt hat die Lücken zu schließen und einen sauberen Informationsaustausch mit uns anzustreben. Stattdessen wurde rumgepöbelt, gedroht und versucht uns lächerlich zu machen. Wie einem Trackerbetreiber die User so egal sein können ist uns unbegreiflich. 3 Jahre Zeit um etwaigige Sicherheitslücken zu schließen, dürfte nun wirklich genug Zeit gewesen sein.


    Thanks

  18. Who Said Thanks:

    Jackson312 (18.03.18) , flitzepo (18.03.18) , sebastian1 (18.03.18) , matrix2003 (18.03.18)

  19. #29

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    der laden hat doch die user db an myAmity in Zusammenarbeit weiter gegeben und die User dort nen acc verpasst
    Thanks

  20. #30

    Join Date
    22.02.12
    Posts
    330
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 ssssss330
    WOW.. bekam heute diese eMail
    Hallo sebastian,

    bereits vor fast drei Jahren haben wir den Betreiber des Trackers The Shinning auf eklatante Sicherheitslücken hingewiesen. Diese Sicherheitslücken wurden bis heute nicht beseitigt. Der Betreiber geht sogar soweit, dass es ihm egal wäre, wenn wir private Daten von den Mitgliedern, also auch dir, veröffentlichen würden (siehe https://www.sb-innovation.de/showthr...325#post333252 ).
    Das umfasst sämtliche privaten Daten wie IP-Adresse, Down- und Upload Statistiken, E-Mail Adresse usw. die bei der Nutzung eines Trackers anfallen.
    Im Interesse aller Mitglieder verschicken wir daher diese Infomail.

    Jeder ist herzlich dazu eingeladen sich über den Tracker und den Betreiber (skydog) ein eigenes Bild auf unserer Internetseite zu machen. Das dazugehörige Thema findest du hier: https://www.sb-innovation.de/showthr...threadid=32325
    Skydog ist dort unter dem Namen "xtm" vertreten.

    Um die akute Gefahr etwas zu verdeutlichen, findest du im Folgenden ein paar sensible Daten über dich. Den Betreiber des Trackers interessiert nach eigener Aussage nicht, wenn diese öffentlich im Netz landen sollten.

    Username: sebastian
    IP-Adresse: xxxxxx
    E-Mail: xxxxxx
    Benutzer-ID: xxxxx
    Registriert: 2018-03-05 16:37:12
    Passworthash: xxxxxxx

    Wir haben natürlich noch wesentlich mehr Daten. Dazu gehört alles, was in der Datenbank gespeichert wird. Also auch private Nachrichten, Peers, Clients usw.


    Mit freundlichen Grüßen

    Dein SB-Innovation Team

    PS.: Im Gegensatz zum Trackerbetreiber skydog, behandeln wir deine Daten mit der nötigen Sensibilität. Von uns droht dir keine Gefahr in irgendeiner Weise.
    Is ja mal KRASS.. zumal meine Daten dort gelöscht werden sollten! . Aber wie man sieht, hackt man mal eben die datenbank, und holt auch noch MEINE Sensiblen Daten da raus, und das wo sie hätten schon längst weg sein müssen!..
    Thanks

  21. Who Said Thanks:

    matrix2003 (18.03.18)

Closed Thread
Page 2 of 6 FirstFirst 1234 ... LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •