Tracker: World of Tomorrow (WoT)
Source: NV-Source Derivat
Wieso die Domain "WORD-of-tomorrow" heißt und nicht "WORLD-of-tomorrow" wie der Trackername, wird wohl ein Geheimnis der Trackerbetreiber bleiben. Jedenfalls sieht allein das schon alles andere als professionell aus. :tongue:
Serversicherheit
OS: Linux, Debian
DB: MySQL 5.x
SMTP: Postfix
Webserver: Apache
SSH: OpenSSH_6.7p1 Debian-5+deb8u3
SSH läuft natürlich am Standardport. Login ist zwar nur via Key möglich, allerdings hielten die Verantwortlichen es wohl für überflüssig, den Port zu ändern. Wieso ein Mail-Server auf Port 25 laufen muss bleibt hier ebenfalls fraglich. Ein simples HTML-Formular was Nachrichten an den Staff weiterleitet dürfte es wohl auch tun. An dieser Stelle haben wir dann auch direkt die Tests am Server eingestellt. Das allererste was man bei einem frischen Server ändert, ist der SSH-Port. Dies wurde hier offenbar nicht für notwendig gehalten. Den restlichen Zustand des Servers kann man sich da schnell zusammenreimen.
Trackersicherheit
Bereits ohne überhaupt eingeloggt gewesen zu sein, konnten wir MySQL-Fehler produzieren. Mit etwas Geduld ist es wahrscheinlich möglich, den Tracker zu hacken, ohne überhaupt einen Account zu besitzen. Aus zeitlichen Gründen haben wir dies aber nicht weiter verfolgt. Zwar sind einige gängige Sicherheitslücken der NV-Source geschlossen gewesen, allerdings nicht alle. Dadurch war es nicht besonders schwierig, die Datenbank zu entführen.
Zum Schluss wie immer ein paar Auszüge aus der Datenbank.
Datenbanken
- information_schema
- MonCho
- mysql
- performance_schema
- phpmyadmin
Auszug aus der Benutzertabelle
id username class ip added passkey 1 Waitinghill 49 217.95.*.* 2017-03-19 16:44:19 waitinghill@*.de adb85e6fa3aa841 2 moncho 90 188.210.*.* 2017-03-19 16:45:16 ka*@myquix.de 07ebd874321ba36 3 Thor 99 109.47.*.* 2017-03-19 16:52:22 mau*@web.de 32715c52d7ff789 4 Cindy 90 79.254.*.* 2017-03-19 18:58:35 cindy@word-of-tomorrow.eu b3f700bb00e8e3f 5 H3rakl3s 70 90.146.*.* 2017-03-19 19:26:26 H3rakl3s@*.* 53c2efce7c8a90b 6 Testuser 0 79.254.*.* 2017-03-21 16:32:46 mau*@web.de 7fccae671f757a9 7 Disaster 49 91.3.*.* 2017-03-22 21:57:31 kow*@googelmail.com 06a8e31a7eb5092 8 Hexe 15 176.198.*.* 2017-03-28 19:16:05 na*@hotmail.de 2ada51565422f4e 9 MaTo2 49 88.152.*.* 2017-03-28 20:14:23 mat*@*.de 3e68ec32150c082 10 Sandmann 15 31.17.*.* 2017-03-28 20:35:17 ml*@gmx.net d1ccf352265d926
Fazit
Der Server ist schlecht konfiguriert und die NV-Source nicht gut (oder gar nicht?) gewartet. Ein Zugriff auf die Datenbank kann über mehrere Stellen erfolgen und wirft ein schlechtes Bild auf die Verantwortlichen.