PDA

View Full Version : Unsafe The Crazy Ones



Rebound
19.05.19, 20:39
Tracker: The Crazy Ones (https://the-crazy-ones.eu)
Source: NetVision

Nachdem der Tracker Luzifers Fallen Angel bei unserem Security-Review durchgefallen (https://www.sb-innovation.de/showthread.php?34079-Luzifers-Fallen-Angel) war, haben die Betreiber nun einen neuen Tracker mit neuem Namen und neuer Source aufgesetzt.


Serversicherheit

OS: Linux, Debian 9.0
Webserver: Apache 2.4.25
MySQL: 5.7.26

Neben dem Webserver Apache gibt es noch ein paar offene Ports für SHOUTcast und einen für Teamspeak 3. SMTP läuft dort ebenfalls, der Eingangsport 25 ist allerdings geschlossen. Ein Port für SSH findet sich gar nicht. Server ist deshalb soweit in Ordnung.

Für die Firewall gilt das Gleiche wie bei den meisten anderen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.

Als Geolocation Kanada auszuwählen ist zumindest besser als Frankreich, aber da hier wieder OVH benutzt wird, ist es nur eine geringfügige Verbesserung.


Trackersicherheit

Auch die neue Source enthält gravierende Sicherheitsprobleme. In diesem Punkt also keinerlei Verbesserung zum vorherigen Review.


Proofs aus dem Staffpanel

https://www.sb-innovation.de/attachment.php?attachmentid=20067
https://www.sb-innovation.de/attachment.php?attachmentid=20068
https://www.sb-innovation.de/attachment.php?attachmentid=20069
https://www.sb-innovation.de/attachment.php?attachmentid=20070
https://www.sb-innovation.de/attachment.php?attachmentid=20071
https://www.sb-innovation.de/attachment.php?attachmentid=20072
https://www.sb-innovation.de/attachment.php?attachmentid=20073
https://www.sb-innovation.de/attachment.php?attachmentid=20074
https://www.sb-innovation.de/attachment.php?attachmentid=20075

Fazit

Mit neuem Namen und neuer Source wollte man die Vergangenheit hinter sich lassen. Leider ist das voll in die Hose gegangen, da man sich erneut für eine Source mit Sicherheitsproblemen entschieden hat. Dies wirft kein gutes Licht auf die Betreiber. Es zeigt außerdem, dass die Verantwortlichen keine ausreichenden Kompetenzen für ein solches Projekt aufweisen. Wir betonen immer wieder, dass es eben keine Lösung ist, bei Sicherheitsproblemen einfach die nächstbeste Source zu installieren und zu hoffen, dass damit sämtliche Probleme gelöst werden.
Das einzige Positive war, dass der Staff uns nach einem Security-Review gefragt und uns einen Account für die Tests zur Verfügung gestellt hat.



https://www.sb-innovation.de/attachment.php?attachmentid=15436

TheLegendary
25.05.19, 14:26
ich wusste es vor paaer tagen sahe ich das mein Acc schon 680 Wochen Regestriert ist und meine UP UND DW Stands waren auf 5 TB o.O hatte da ungutes gefühl gehabt. hab mal eben nachgeschaut zum glück wurde mein Acc auf Wunsch gelöscht