World of Tomorrow (WoT)

Tracker: World of Tomorrow (WoT)
Source: NV-Source Derivat

Wieso die Domain "WORD-of-tomorrow" heißt und nicht "WORLD-of-tomorrow" wie der Trackername, wird wohl ein Geheimnis der Trackerbetreiber bleiben. Jedenfalls sieht allein das schon alles andere als professionell aus. :tongue:

Serversicherheit

OS: Linux, Debian
DB: MySQL 5.x
SMTP: Postfix
Webserver: Apache
SSH: OpenSSH_6.7p1 Debian-5+deb8u3

SSH läuft natürlich am Standardport. Login ist zwar nur via Key möglich, allerdings hielten die Verantwortlichen es wohl für überflüssig, den Port zu ändern. Wieso ein Mail-Server auf Port 25 laufen muss bleibt hier ebenfalls fraglich. Ein simples HTML-Formular was Nachrichten an den Staff weiterleitet dürfte es wohl auch tun. An dieser Stelle haben wir dann auch direkt die Tests am Server eingestellt. Das allererste was man bei einem frischen Server ändert, ist der SSH-Port. Dies wurde hier offenbar nicht für notwendig gehalten. Den restlichen Zustand des Servers kann man sich da schnell zusammenreimen.

Trackersicherheit

Bereits ohne überhaupt eingeloggt gewesen zu sein, konnten wir MySQL-Fehler produzieren. Mit etwas Geduld ist es wahrscheinlich möglich, den Tracker zu hacken, ohne überhaupt einen Account zu besitzen. Aus zeitlichen Gründen haben wir dies aber nicht weiter verfolgt. Zwar sind einige gängige Sicherheitslücken der NV-Source geschlossen gewesen, allerdings nicht alle. Dadurch war es nicht besonders schwierig, die Datenbank zu entführen.
Zum Schluss wie immer ein paar Auszüge aus der Datenbank.

Datenbanken

• information_schema
• MonCho
• mysql
• performance_schema
• phpmyadmin

Auszug aus der Benutzertabelle

id	username	class	ip	added	email	passkey
1	Waitinghill	49	217.95.*.*	2017-03-19 16:44:19	waitinghill@*.de	adb85e6fa3aa841
2	moncho	90	188.210.*.*	2017-03-19 16:45:16	ka*@myquix.de	07ebd874321ba36
3	Thor	99	109.47.*.*	2017-03-19 16:52:22	mau*@web.de	32715c52d7ff789
4	Cindy	90	79.254.*.*	2017-03-19 18:58:35	cindy@word-of-tomorrow.eu	b3f700bb00e8e3f
5	H3rakl3s	70	90.146.*.*	2017-03-19 19:26:26	H3rakl3s@*.*	53c2efce7c8a90b
6	Testuser	0	79.254.*.*	2017-03-21 16:32:46	mau*@web.de	7fccae671f757a9
7	Disaster	49	91.3.*.*	2017-03-22 21:57:31	kow*@googelmail.com	06a8e31a7eb5092
8	Hexe	15	176.198.*.*	2017-03-28 19:16:05	na*@hotmail.de	2ada51565422f4e
9	MaTo2	49	88.152.*.*	2017-03-28 20:14:23	mat*@*.de	3e68ec32150c082
10	Sandmann	15	31.17.*.*	2017-03-28 20:35:17	ml*@gmx.net	d1ccf352265d926

Fazit

Der Server ist schlecht konfiguriert und die NV-Source nicht gut (oder gar nicht?) gewartet. Ein Zugriff auf die Datenbank kann über mehrere Stellen erfolgen und wirft ein schlechtes Bild auf die Verantwortlichen.

http://www.sb-innovation.de/attachme...chmentid=15436

Warum bin ich jetzt nicht überrascht? :rolleyes:

Also meiner Inforation nach hat sich der Coder dieser Seite dem Problem angenommen und will oder hat sich mit Rebound in Verbindung gesetzt,sowas gibt von mir persönlich eine DAUMEN HOCH. Wenn man so eine Security Review ernst nimmt zeugt davon das da ein bisschen Leidenschaft und Verantwortungsgefühl mit im Spiel ist …mal abwarten was wird
LG

Hat jemand was anderes erwartet? Bei einem Coder der die Source nur geklaut hat und nicht mal weiß wie sie funktioniert? :D Selten so nen schlechten Programmierer wie Thor gesehen, wobei man Ihn so nicht mal nennen dürfte, ist ja ne Beleidigung für alle die es können.

Aber mit dem Tracker wird er noch sein großes Erwachen haben :D

Quote:

---

Originally Posted by Sh4d0wL3x

Aber mit dem Tracker wird er noch sein großes Erwachen haben :D

---

Klingt ja fast schon wie eine Drohung, aber ich bin der ansicht jeder hat mal klein angefangen ....
Leben und Leben lassen mal sehn was wie es sich entwickelt

in diesem Sinne
LG

Leben und Leben lassen mal sehn was wie es sich entwickelt !!!!!!!

ist nichts gegen zu sagen """ Aber""" erst die Sicherheit im Griff haben und dann den Tracker öffnen für die User das würde mehr Sinn machen. Die source ist ja wie die von KW "fast" 1:1 übernommen worden . Die waren ja dort ehemalige Teammember..

Done

Wir arbeiten an dem Problem und werden uns explizit mit der Serversicherheit weiter beschaffen um gewisse Dinge in Zukunft zu vermeiden und diese ausmerzen zu können!
Vielen Dank an diejenigen die unsere Source getestet haben und uns auf gewisse Sicherheitslücken hingewiesen haben!
Wir sind schon in einigen Dingen tätig geworden, allerdings benötigt der Feinschliff noch seine Zeit!
Sollte wir mit unseren Ergebnis zufrieden sein, werden wir auch als "safe" deklariert werden, denn das ist unser Ziel!

Bleibt im Prinzip nur die Frage warum man dann nicht solange von Netz geht wenn man weiß das man Unsafe ist.

Quote:

---

Originally Posted by ImperaThor

Sollte wir mit unseren Ergebnis zufrieden sein, werden wir auch als "safe" deklariert werden

---

nicht ganz. ein "safe" hängt davon ab ob wir zufrieden sind :P

Wir blieben ruhig, haben hier und da noch was auszubessern, aber unsere Datenbank ist nicht mehr einsehbar!

huhu kann das sein das der schon nicht mehr on ist?? habe mal auf den link gedrückt aber da kam bei mir nur seite nicht gefunden?!

wird gerade umgebaut, kommt wieder.:klatsch_3:

Heute ist nicht alle Tage, wir kommen wieder keine Frage!
Wir versuchen bis Ende dieser Woche wieder online zu kommen, wir starten aber keine hauruck Aktion um schnell wieder online zu kommen, sondern müssen viel anpassen und optimieren.
Es wird eine andere Source geben, da unsere einfach zu sehr am Zahn der Zeit genagt hat!
Alle die bei uns eine erreichbare e-Mail addy angegeben haben, werden bald darüber informiert, wie es weiter geht!
Wer eine fake-email angegeben hat und versucht über die Recovery Funktion reinzukommen, dem wird die Rückkehr verwehrt!(es wurde oft genug darauf hingewiesen und Tipps gegeben)
Unsere Registrierung bleibt auch nach dem Source-Wechsel geschlossen!
Und wie immer gilt:

Wär Rächtschraibfähla findet, darf sie behalten tun!

Quote:

---

Hallo ihr lieben,

wir sind nun mit einer neuen Source wieder online. Da leider unsere Datenbank mit der neuen Source nicht Kompatibel ist, musst du dich leider neu Registrieren.
Bei der Registrierung gibst du bitte einen Secure Code nach deiner Wahl ein, der ist dann festgelegt und wird bei jedem Login Abgefragt.
Wir werden die User-States, also deinen Up –und Download Händisch anpassen, dass natürlich etwas dauern wird. Die Files, die vorhanden waren, konnten leider auch nicht mit übernommen werden und somit müssen wir leider wieder von 0 anfangen.
Im Moment ist die Source noch Standard, da wird in nächster Zeit noch der Style usw. Angepasst werden (so wie es jetzt ist, gefällt es mir gar nicht).
Die Torrent Ansicht auf der Startseite, kannst du in deinem Profil von Ajax auf NV ändern, ich Persönlich finde die NV besser.
Wir freuen uns, euch wieder bei uns begrüßen zu dürfen.

Euer WoT-Team

---

Ich werde mich da nicht wieder reggen.
Die Leute da sollten Tomaten züchten oder sowas, und die Hände vom Tracker coden lassen.
Soviel Theater und Downtimes wie es da wegen Unvermögen schon gab ist nicht mehr feierlich.
Die User sollten versuchen was beim TS oder ähnlichen Trackern zu bekommen oder ganz die Finger davon lassen.

Quote:

---

Da leider unsere Datenbank mit der neuen Source nicht Kompatibel ist, musst du dich leider neu Registrieren.

---

Quote:

---

Die Files, die vorhanden waren, konnten leider auch nicht mit übernommen werden

---

oder anders ausgedrückt: die betreiber haben keine ahnung von dem was sie tun.

Hier geht's weiter: https://www.sb-innovation.de/showthr...rrow-(Recheck)