PDA

View Full Version : Unsafe World of Ghosts



Rebound
01.05.19, 21:10
Tracker: World of Ghosts (https://worldofghost.sytes.net)
Source: NV-Source

Heute schauen wir uns auf Wunsch eines Users World of Ghosts an.

Auch wenn es eigentlich nicht zum Inhalt dieses Reviews gehört, bringen wir es an dieser Stelle trotzdem. Über der Shoutbox steht.


Hetze und Rechtskadikales [sic] Gedankengut sowie fremdverlinkte Bilder sind hier verboten!

Da stellen sich gleich mehrere Fragen.

1.) Linksradikales Gedankengut ist erlaubt?
2.) Wieso hat das Staff-Mitglied VollBart ein Bild von Thilo Sarrazin in seinem Profil?

Das nur mal nebenbei. :P


Serversicherheit

OS: Linux, Debian 8
Webserver: Apache 2.4.10
SSH: OpenSSH 6.7p1 Debian 5+deb8u4
MySQL: 5.5.60-0+deb8u1

Die primäre Auffälligkeit beim Server sind die alten Versionen. Besonders OpenSSH sticht heraus, da genau diese Version eine bekannte Schwachstelle hat (CVE-2016-1908). Diese allerdings ist nur in Verbindung mit dem Einsatz von X11 ein Problem, was auf Servern in aller Regel nicht benutzt wird. Nicht den Standardport zu benutzen ist zwar löblich, aber in diesem Fall keine nennenswerte Verbesserung.
Auch MySQL hat bereits ein Jahr auf dem Buckel und man könnte daher annehmen, dass die Serverpflege keine Priorität ist.
Im Unterordner /secure/index.php findet sich außerdem noch eine phpMyAdmin Installation.
Des Weiteren scheinen noch SHOUTcast und Teamspeak 3 zu laufen.

Für die Firewall gilt das gleiche wie bei den meisten anderen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.

Erwähnen muss man an dieser Stelle noch den Serverstandort OVH in Frankreich. Als direktes Nachbarland und mit guten bilateralen Beziehungen zwischen Frankreich und Deutschland, ist der Standort kaum sicherer als Deutschland selber. Zudem hat sich OVH als Hoster für Tracker in der Vergangenheit nicht besonders bewährt.


Trackersicherheit

Standardsource mit den üblichen bekannten Sicherheitsproblemen. Mehr braucht man dazu nicht sagen.


Proofs von einem Staffaccount

https://www.sb-innovation.de/attachment.php?attachmentid=20010

https://www.sb-innovation.de/attachment.php?attachmentid=20011https://www.sb-innovation.de/attachment.php?attachmentid=20012https://www.sb-innovation.de/attachment.php?attachmentid=20013

https://www.sb-innovation.de/attachment.php?attachmentid=20014https://www.sb-innovation.de/attachment.php?attachmentid=20015https://www.sb-innovation.de/attachment.php?attachmentid=20016

https://www.sb-innovation.de/attachment.php?attachmentid=20017https://www.sb-innovation.de/attachment.php?attachmentid=20018

https://www.sb-innovation.de/attachment.php?attachmentid=20019


Fazit

Eigentlich schade um den Tracker. Da hat sich jemand viel Mühe für die verschiedensten Features gegeben, die man woanders selten oder gar nicht findet. Das bedeutet allerdings im Umkehrschluss, dass es sehr sehr lange dauern wird, bis man den Tracker vernünftig abgesichert haben wird.
Kritisieren muss man auch die Form der Bestätigungsmail. Die Mail kommt wieder von einem deutschen Provider (@gmx.de) und beinhaltet neben der eigenen E-Mail Adresse sogar noch die IP-Adresse mit der man sich registriert hat. GMX dürfte an den Inhalten der E-Mails zwar grundsätzlich kein Interesse haben, trotzdem sollten diese sensiblen Daten nicht durch einen deutschen Provider geschleift werden.



https://www.sb-innovation.de/attachment.php?attachmentid=15436