PDA

View Full Version : Unsafe FTS (Freaks Tracking System)



Rebound
27.12.16, 18:56
Tracker: FTS (Freaks Tracking System) (https://fts.to)
Source: Woltlab Burning Board mit (vermutlich customized) Torrent-Tracker-Support

Eigentlich sollte es für diesen Tracker gar kein Security-Review mehr geben. Das Ende schien beschlossene Sache und FTS wollte am 01.01.2017 die Pforten schließen. FTS haben wir uns schon vor einigen Wochen genauer angeschaut, wollten aber aus Respekt vor ihrer Entscheidung nicht noch unnötig Öl ins Feuer gießen.
Nach letzten Meldungen wurde die Schließung jedoch abgewendet, weshalb einem Review an dieser Stelle nichts mehr im Wege steht.

Als kleiner Appetizer hier noch ein Zitat von einem Benutzer vom FTS-Tracker (aus dem Schließungs-Thread):


Und ich muss zugeben, dass ich bei sb-innovation gerne einen Test zum FTS gesehen hätte. Natürlich nur um zu lesen, dass der FTS der beste, der besten, der besten ist :D

Diesem wollen wir natürlich gerne nachkommen, auch wenn das Ergebnis wohl alles andere als zufriedenstellend sein dürfte. :P

Serversicherheit

OS: debian 8
WWW: nginx 1.6.2
SSH: 6.7p1, 5+deb8u1
PHP: 5.6.17-0+deb8u1

Serverstandort bei OVH in Frankreich ist nicht die beste Wahl, was bei dem kürzlichen what.cd Bust auch wieder bestätigt wurde. In der Regel fällt die Wahl auf OVH aufgrund der günstigen Preise. Etwas mehr Privatsphäre kostet nämlich.
Vom Standort abgesehen, scheint der Server keine Firewall zu haben und bietet mehrere RPC Ports an. Ein weiterer hoher Port, dessen Zweck wir nicht weiter ermittelt haben, ist ebenfalls noch offen. Das Hauptproblem ist allerdings SSH, welches in der vorliegenden Version eine bekannte Schwachstelle hat.
Alles in allem zeigt sich hier das gleiche Bild wie auch bei den meisten unserer anderen Reviews: Eine schlecht gewartete Standardkonfiguration, die in diesem Fall sogar noch über Sicherheitslücken verfügt, die seit Monaten bekannt sind.

Trackersicherheit

Die eingesetzte Forensoftware ist schlecht (oder gar nicht?) gewartet. Die verwendete Version ist in die Jahre gekommen und verschiedene Fehlermeldungen lassen sich an vielen Stellen produzieren. Ebenfalls scheint die eingesetzte PHP Version nicht hundertprozentig kompatibel mit der WBB-Version zu sein. Angriffspunkte dürften sich einerseits mit bekannten Exploits ergeben, andererseits sind natürlich auch die Teile der Software angreifbar, die in Eigenregie hinzugefügt wurden. Wir waren deshalb ziemlich überrascht über den mutigen Schritt den Tracker zu schließen. Leider wurde dann doch die falsche Entscheidung getroffen, indem man ihn weiterlaufen lässt.
Öffentliche Forensoftware ist in der Regel sehr schwer zu knacken, da Sicherheitspatches vom Hersteller zeitnah zur Verfügung gestellt werden. Uns ist es dennoch gelungen, einige Schwachstellen in der Software auszumachen, welche dann letztendlich zu einem kompletten Zugriff auf die Datenbank geführt haben. Proofs folgen.

Auszug aus der Benutzertabelle


userID
email
password
username
rankID
registrationIpAddress


4
aumoralus@*.de
872852f709b8161de8bf345df537f267c6d64287
Sajen
0
62.153.*



3933
info@can*.net
1fd9efe703bfeaa68a335c5e69cbf53e847485f7
haze angel
0
-



3934
georg*@luc*.de
d9721a17109676cab0773c04ddc2b8506385626b
profbss
0
-



3999
msto*@gmx.de
7f72445da2d191f70c56d62d4703fea8e6bd86cf
bandun
0
-



23
Koenig*@googlemail.com
9b442c168c3e52b0969dd5248f935a0724be7d4b
Hades
1
77.128.*



676
killer.*@gmx.de
040ac502d3c58fb0ce08125fb8528396780faf23
Killer Katze
1
-



51
brauner-*@hotmail.de
6030a61a709d98ff4fd68cd91b5e5efe36ef5e91
Black Samuray
2
84.58.*



79
obelix*@web.de
f105548bfda0ca45011b4bb78d1031f1e04300b9
CrazyKenny
2
89.57.*



90
*kid@web.de
bd53f3e42960427ee727b0abaacbba5cfa1aed78
mightythor
2
78.42.*



164
wize*@googlemail.com
6e664aeddb4cac6ef8e63b806fc3beb44157edb2
Nilz
2
81.210.*




Fazit

Es wäre klüger gewesen, die ursprüngliche Entscheidung beizubehalten. Dann hätte der FTS in Ruhe seinen Frieden finden können. So wird der Tracker jetzt doppelt bestraft. Erstens, die Weiterführung von lückenbehafteter Software die veraltet ist und zweitens, ein negatives Security-Review.


http://www.sb-innovation.de/attachment.php?attachmentid=15436