-
Luzifers Fallen Angel
Tracker: Luzifers Fallen Angel
Source: NV-Source
Im Rahmen unserer TOG-Reviews haben wir Luzifers Fallen Angel etwas eingehender untersucht.
Serversicherheit
OS: Linux, Debian 8
Webserver: Apache 2.4.10
SSH: OpenSSH 6.7p1 Debian 5+deb8u7
MySQL: 5.5.62
SSH liegt nicht auf dem Standardport, dafür allerdings Webmin. Die Apache Version ist von 2014 und sollte mal aktualisiert werden. Die Liste der Exploits ist lang: https://www.cvedetails.com/vulnerabi...er-2.4.10.html.
Eine Firewall konnten wir nicht feststellen. Falls eine existiert, ist sie in ihrer derzeitigen Konfiguration nicht effektiv genug.
Erwähnen muss man an dieser Stelle noch den Serverstandort OVH in Frankreich. Als direktes Nachbarland und mit guten bilateralen Beziehungen zwischen Frankreich und Deutschland, ist der Standort kaum sicherer als Deutschland selber. Zudem hat sich OVH als Hoster für Tracker in der Vergangenheit nicht besonders bewährt.
Trackersicherheit
Wir waren kurz davor schon aufzugeben, weil der Tracker sowas von kaputt ist, dass man kaum navigieren kann. Wir haben es dann einfach gelassen und ein paar unserer Standard-Scans drüberlaufen lassen. Dies hat schon völlig ausgereicht, um mehrere Lücken ausfindig zu machen. Wir haben auch hier auf weitere Proofs verzichtet, da wir keine Lust hatten in den Datenbanken rumzustochern, bis wir irgendwann mal die richtige für den Tracker gefunden haben.
Erwähnen muss man auch hier eine völlig fehlerhafte Konfiguration von Webserver und Datenbank. Teilweise ging gar nichts mehr, obwohl wir noch relativ human getestet haben. Es gab dann auch so eine hübsche Fehlermeldung wie man sie seit 1995 nicht mehr sieht.
Proof
Datenbanken
- bastel2
- black
- information_schema
- mysql
- performance_schema
- phpmyadmin
- ttt
- waiti
- wogbackup
- wogtt1
- wogtt2
Fazit
Der Trackerbetreiber hat uns zwar freundlicherweise einen Account zum Testen zur Verfügung gestellt, am Ergebnis ändert das aber wenig.
Satz mit X, das war wohl nichts.
-
Neuer Name
Sind unter neuem Namen da scheint sich aber nichts geändert zu haben
Last edited by SerienFreak; 02.04.19 at 18:52.
::blank::
-
Wenn ich jetzt die URL aufrufe, komme ich auf WOG was zu den wogbackup, wogtt1. wogtt2 einträgen passen würde.
Mir wurde von einem Partner gesagt, sie sind jetzt "Data-Ocean"
::blank::
-
Also unter der Domain ist nun eine ttt source zu erreichen.
::blank::
-
::blank::
Tags for this Thread
Posting Permissions
- You may post new threads
- You may post replies
- You may not post attachments
- You may not edit your posts
-
Forum Rules
Bookmarks