Tracker: BitCity-Reloaded
Source: NV-Source
Hier sind wir wieder, mit einer neuen Ausgabe unserer berühmt berüchtigten Security-Reviews.
Heute hat es den Tracker BitCity-Reloaded erwischt. Ob es tatsächlich ein offizieller Nachfolger vom damaligen BitCity-Tracker ist, weiß ich nicht genau. Falls ja, sind die Verantwortlichen von damals jedenfalls nicht mehr am Ruder. Auch dieses Review wird wieder die eine oder andere Überraschung für euch parat haben.
Serversicherheit
OS: Linux, Debian 6
MAIL: Postfix, Dovecot
WWW: nginx/0.7.67, lighttpd 1.4.28
SSH: OpenSSH 5.5p1 Debian 6+squeeze5
Der Serverstandort in Moldavien ist gut, der Rest weniger. Zwei verschiedene Webserverversionen die beide bekannte Lücken haben sowie drei offene RPC Ports auf die ich, im Interesse der Seite, nicht näher eingehe. Die Notwendigkeit eines kompletten Mailservers für einen Tracker ist ebenfalls fraglich. Hinweise auf eine Firewall gab es keine.
Alles in allem kein guter Eindruck, da unnötig viele Angriffspunkte gegeben werden und auch noch Software mit bekannten Schwachstellen Verwendung findet.
Trackersicherheit
Es gibt wieder mindestens eine bekannte Standardlücke, mit der man vollen Zugriff auf die Datenbank erhält. Es ist mittlerweile schon fast langweilig, weil fast alle Tracker die gleichen Sourcen mit den gleichen Lücken benutzen. Besonders amüsant ist ein Schriftwechsel zwischen Logitech (Sysop) und Legion (User), in dem sich über den Tracker „Nachtwerk“ lustig gemacht wird und dem stattgefundenen Hack von mir. Was für eine Ironie. Damit die Allgemeinheit auch etwas davon hat, folgt der PN-Verkehr zwischen den beiden.
PN-Wechsel zwischen Logitech und Legion, Betreff: nachtwerk
Hier noch der obligatorische (zensierte [damit das Geheule nicht gleich wieder losgeht]) Auszug der Benutzertabelle. Es sind allerdings nur knapp über 2k Datensätze, was natürlich etwas mager ist. Damit haben wir aber auch gleich mal die Userzahl festgestellt.Originally Posted by LegionOriginally Posted by Logitech
ID ip added class username passhash 18750 188.101.* habenixda@***.de 06.03.2013 16:03:06 5 Rick 1de6966a24ae2d8472d248d0fb2ed019 18751 109.44.* ajagroup@*.com 01.12.2012 19:55:42 91 Logitech e098a1fd4f9064ff963d2f5bb5eebee3 18754 37.187.* ajagroup@*.ai 16.12.2012 08:40:56 16 TorrentWirt b376473c9a54407473134814caf38d3c 18755 37.48.* 23thstreet@*.com 16.12.2012 11: 01:36 18 23thStreet 371a3e20b30e435e38a4d7a8891fd642 18756 193.73.* moonspell@*.com 16.12.2012 17:57:07 5 moonspell fa32d125e34ba937c2c3b87d469e7295 18758 80.226.* kong@*.org 25.12.2012 14:48:59 1 Kong af99f1558adc2c367d54e67c6cd25303 18761 193.159.* ba*@arcor.de 30.12.2012 21:24:57 5 Wraxx 13618e2bc0605cba3a20034a3cb54b5e 18765 37.187.* paul*19*@*.com 05.01.2013 12: 27:49 5 4OG bbbdee373fc9c6049db47dddfa7c106a 18767 91.66.* com*_b241k@gmx.de 09.01.2013 20:52:31 1 b241k 75b0a19018ba5987d18e593f4d34ec72 18772 94.23.* wtf-*@*.de 18.01.2013 18:44:10 5 Sinus 4813b80729917e976c4c06f3d32a20a9 18783 178.201.* nep*34@*.de 03.02.2013 16:36:14 5 AgF37 62963cb19d816f4bdc8bc9b807353416 18784 78.52.* toyotagirl*@*.de 08.02.2013 23:21:41 4 toyotagirl 0afec73fa855371ecefda951f4425bd1 18786 77.13.* dj_st*@*.de 09.02.2013 11:37:15 5 Derw 5d1ac45d54a45494ab19dd1d7e5ba996 18787 88.150.* matz*@*.de 09.02.2013 11:44:37 4 Matarius 109c144ad6b1937322a548303ab28ac7
Hier noch zwei Screens von der neuen Beta-Source an der gearbeitet wird. Ich weiß nicht, ob diese schon veröffentlicht wurden oder nicht. Ich poste sie trotzdem mal. Design sieht schon mal 0815 aus, Bootstrap lässt grüßen (auch wenn ich schon schlimmeres gesehen habe). Mir ist auch unklar, wieso die Leute immer der Meinung sind, eine eigene Source schreiben zu müssen. Es gibt genügend vernünftige Sourcen, die mit etwas Feintuning durchaus zu gebrauchen sind. Aber bitte, wenn man die Zeit und sonst nichts besseres zu tun hat…
Fazit
Kurz und knapp: Durchgefallen. Der Staff macht sich über andere Tracker lustig die gehackt wurden, schert sich aber selber nicht im geringsten um die eigene Sicherheit und somit um die Sicherheit der eigenen Benutzer. Das ist gleich in doppelter Hinsicht extrem unprofessionell und amateurhaft. Mit Freude erwarte ich die neue Beta-Source. Mit diesen Worten gebe ich zurück ins Studio. Nächster Halt: gods.lu
Bookmarks