Closed Thread
Page 2 of 4 FirstFirst 1234 LastLast
Results 16 to 30 of 51

Thread: TSC

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    TSC

    Tracker: TSC
    Source: schwer zu sagen, ich würde auf eine veränderte NV-Source tippen

    Vom Unterhaltungswert kann ich versprechen, dass dieses Security-Review das bislang Amüsanteste werden wird. Für gewöhnlich halte ich mich ja ziemlich dezent zurück, aber diese Aktion, die sich da TSC geleistet hat, werde ich gnadenlos ausschlachten. Aber fangen wir erst mal wie mit jedem Security-Review an. Großer Dank geht wie immer an Instab, der mich auch hier tatkräftig unterstützt hat. Los geht’s!

    Serversicherheit

    OS: Linux, Debian 8
    DB: MySQL, 5.5.44-0+deb8u1
    SMTP: Postfix
    Webserver: Apache/2.4.12
    SSH: OpenSSH_6.7p1
    SHOUTcast: 1.9.8

    Die MySQL Version ist auf dem Stand vom Juli und somit sehr aktuell im Vergleich zu den anderen getesteten Trackern. Weniger gut ist allerdings, dass sie von außen erreichbar ist und das ohne Hostfilter und auf dem Standardport!
    Auch ein Mailserver antwortet brav am Standardport, was für sich gesehen kein Problem ist. Da eine Torrentseite aber weder e-Mails empfangen muss, noch sollte, stellt dies ein unnötiges Risiko dar.
    Wenn man also das Gesamtbild betrachtet, zeigt sich wie so oft eine schlecht konfigurierte Standardinstallation, die in diesem Fall immerhin nicht auch noch durch stark veraltete Versionen glänzt. Soll heißen: Es gab schon schlimmere Fälle, aber von einem Meisterstück ist auch dieser Server sicherheitstechnisch gesehen weit entfernt.

    Trackersicherheit

    Wie auch bei vielen anderen deutschen Trackern konnte ich hier einige der häufigsten Lücken ausfindig machen, welche mir problemlosen Zugriff auf die Datenbank ermöglicht haben. Damit ist es auch hier möglich, sämtliche Userdaten, Torrents, Private Nachrichten etc. auszulesen. Wie immer habe ich exemplarisch die Datenbanken aufgelistet und einen kleinen Auszug aus der Benutzertabelle. Anschließend folgen ein paar Erklärungen.

    Datenbanken

    • information_schema
    • mysql
    • performance_schema
    • phpmyadmin
    • programmagic
    • tsctracker



    ID Added Class Email Username Passhash
    1 2008-07-17 02:42:37 102 cen***@web.de Force 2903396cfb4fa5a4adec4448909ea1a8
    21749 2013-02-16 00:14:25 1 cen***@web.de Scubadevil 41065ff29e29c6a4bde4136a81b8dc96
    21761 2013-02-16 23:4 7:02 1 cen***@web.de Test d81115a0662cba7b2e5e3da1b58f45d1
    21781 2013-02-18 00:04:17 1 cen***@web.de Cazzper 3d66c299d8df5a921770bc1c7af5568e
    21792 2013-02-18 15:29:37 1 cen***@web.de bvb 8a4f7466349c56dd0b4bf3431c7fe4d8

    Auch wenn eine Sache im Auszug der Benutzertabelle direkt auffallen sollte, habe ich die entsprechenden Stellen mal rot markiert. Obwohl ich die E-Mail-Adressen zensiert habe, so kann man doch eine verblüffende Ähnlichkeit feststellen, obwohl es sich bei jeder Zeile um einen anderen Benutzer handelt. Doch wie kann das sein? Die Antwort ist ziemlich einfach und zugleich schockierend: Ich habe versehentlich beim rumspielen mit der Datenbank alle E-Mail Adressen in der Benutzertabelle mit meiner Eigenen überschrieben.
    Ich dachte erst an einen Fehler meinerseits, aber es stellte sich schnell heraus, dass ich tatsächlich von allen Usern die Mail-Adresse geändert habe.
    Aber richtig amüsant wird diese Aktion eigentlich erst mit der letzten Newsmeldung, die TSC herausgebracht hat:
    Durch einen Systemfehler wurden leider alle Profile auf Anfang gestellt
    und eure E-Mail Adresse wurde leider auch geändert!
    Der Fehler wurde gefunden und beseitigt!
    Allerdings bitten wir euch, eure Profile wieder selbst einzustellen, dickes SORRY dafür !
    Als kleine Entschädigung für eure Mühen stellen wir alle Torrents auf OU !
    Vielen Dank für das Verständnis und weiterhin viel Spass!
    „Systemfehler“. So nennt man einen Hack jetzt neuerdings also. Ich weiß nicht, was ich schlimmer finde. Die vorhandenen Sicherheitslücken oder die dreiste Lüge, mit der die Community für dumm verkauft werden soll. Solche „Systemfehler“ gibt es nicht. Entweder wurden als Panikreaktion direkt alle Mailadressen mit einem Platzhalter ersetzt, wodurch auch ein Teil der Profileinstellungen verloren gegangen ist oder, was wesentlich erschreckender wäre, es existierte kein Backup! Damit hätte man die E-Mail-Adressen ziemlich einfach wieder zurücksetzen können. Dies verleitet mich zu der Annahme, dass es keine regelmäßige Backup-Routine gibt, was bei jedem Web-Projekt grob fahrlässig ist. Auch wenn ich es noch nicht erneut getestet habe, so bin ich mir sicher, dass die eigentliche Sicherheitslücke noch nicht mal geschlossen wurde.

    Fazit

    Wie mein Review ausfällt, kann man sich wohl denken. Setzen sechs!



    Thanks

  2. Who Said Thanks:

    Nemesis (04.04.19) , Flux (26.03.19) , tesastreifen (26.03.19) , tr0y (22.03.19) , Turnschuh (10.01.19) , anthony-joal (20.08.17) , Russelowner (03.12.15) , blood (18.09.15) , MonsterLag (18.09.15) , TorrentJunky (17.09.15) , zappkönig12345 (16.09.15) , Snitlev (16.09.15) , Instab (16.09.15)

  3. #16

    Join Date
    02.01.11
    Location
    ERDE
    Posts
    41
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 sssssss41
    es sind genug da, also ist die frage überflüssig
    Last edited by korte; 02.09.16 at 20:52.
    Thanks

  4. #17
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Quote Originally Posted by Shifu View Post
    soweit ich weis wurde was gemacht!
    das hier stand mal mit nem F da und nun isses nen A!
    Die damalige Lücke über die ich Zugriff erlangt habe, wurde geschlossen. Allerdings war das Krisenmanagement und die Kommunikation mit den Benutzern total peinlich und inkompetent (nachzulesen in diesem Security-Review). Daher würde ich mich von dem Tracker nach wie vor fernhalten.

    @Shifu: Wenn du keine Ahnung hast, dann bitte ich dich dazu auch nicht zu äußern. Dein geposteter Link hat überhaupt nichts mit allgemeiner Sicherheit zu tun und irritiert nur unwissende Benutzer.

    Quote Originally Posted by Shifu View Post
    Der Rebound wird aber denke ich schon noch mal was versuchen!
    Schließe ich nicht aus, aber ich hab verständlicherweise noch anderes zu tun.

    Quote Originally Posted by corregidor View Post
    ..was ich bisl komisch find, der BF bekam damals ein "SAFE" - und der TSC bekam ein "UNSAFE" - was sollte jmd. jetzt also bewegen dorthin zu wechseln?
    Dass gleiche wie immer. Uninformiert den nächst besten bzw. schlechten Tracker nehmen den man finden kann, ohne vorheriges Einholen von Informationen.

    Quote Originally Posted by korte View Post
    es sind genug da, also ist die frage überflüssig
    Das einzige was überflüssig ist, ist dein Beitrag.


    Thanks

  5. #18

    Join Date
    17.05.12
    Posts
    37
    Activity Longevity
    0/20 14/20
    Today Posts
    0/5 sssssss37
    Quote Originally Posted by korte View Post
    es sind genug da, also ist die frage überflüssig
    Das einzige was überflüssig ist, ist dein Beitrag.



    Immer wieder unglaublich wie dumm manche Leute sind.
    Weil viele da sind wird schon alles gut sein. *KopfTisch*
    Last edited by Jodito; 03.09.16 at 13:57.
    Thanks

  6. #19

    Join Date
    24.08.16
    Posts
    28
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 sssssss28
    Rebound mein beitrag sollte nur dazu dienen zu zeigen das was von den neuen Sysops gemacht wird,
    wenn man die Verantwortlichen darauf hinweisst!
    Mehr nicht!
    Daher auch der link von mir!
    Mir wurde das gezeigt und ich habs weiter geleitet und ca. 30min später habe ich die Rückmeldung bekommen,
    das das gefixt wurde und das wars.

    das du auch ein RL hast ist klar!

    Ich bin dort als Uploader mit meiner Quelle zugange und nichts weiter!
    Nur wenn ich hier oder in nem anderen thread wieder lesen muß,
    der tracker ist nicht safe dann ist das fürn arsch,
    weil 1. die fehler gefixt wurden!
    2. kein tracker ist perfekt im netzt auf getaucht!
    fehler sind allen schon untergekommen und man hat darauß gelernt!
    3. stecken menschen dahinter die ebenfalls nicht perfekt sind!
    das heißt aber net das man sich neue Nicks zu legen und sich aus dem Geschäft zurück ziehen sollte.

    ergo nur weil etwas vor nem jahr unsafe eingestufft wurde, muß das heute auch nicht noch gelten!

    deswegen user die nen neuen tracker suchen nicht dort hin zu inviten weil ein "unsafe" nicht mehr aktuell ist, ist ein nicht vertretbares no go!

    gerade dann wenn andere dicht machen!

    wenn ihr an deren stelle gestanden hättet, wärt ihr froh gewesen wenn ich euch geholfen hätte!

    lg
    Shifu
    Last edited by Shifu; 03.09.16 at 20:44.
    Thanks

  7. #20
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by Shifu View Post
    kein tracker ist perfekt im netzt auf getaucht!
    da muß ich widersprechen. wenn ein tracker (oder eine dynamische webseite generell) von jemand hochgezogen wird der weiß was er tut dann gibt es da keine löcher in der art wie wir sie bei vielen reviews hier gefunden haben.
    das heißt nicht, daß die seite nicht durch aufwändige und professionelle angriffe kompromittiert werden könnte aber die art von lücken die wir uns bei vielen reviews zu nutze gemacht haben dürfen nicht vorhanden sein.
    Your account has been disabled.
    Thanks

  8. Who Said Thanks:

    Rebound (04.09.16) , MonsterLag (04.09.16) , Snitlev (04.09.16)

  9. #21

    Join Date
    24.08.16
    Posts
    28
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 sssssss28
    deswegen schrieb ich ja auch punkt 3!

    ich finde toll was Rebound in bezug auf sicherheit macht! ehrlich!

    wir werden ja sehen wenn Rebound mal genug Zeit hat und den TSC erneut testet!

    so long ....

    LG
    Shifu
    Thanks

  10. #22

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    Quote Originally Posted by Shifu View Post

    wir werden ja sehen wenn Rebound mal genug Zeit hat und den TSC erneut testet!

    so long ....

    LG
    Shifu
    wurde es den schon mal wieder ? ist ja nun fast ein Jahr her.
    Thanks

  11. Who Said Thanks:

    Freak69 (21.08.17)

  12. #23
    Aktuell down. Vielleicht wieder ein Tracker weg...
    Thanks

  13. #24
    Missi
    Hallo zusammen,
    Aktuell down. Vielleicht wieder ein Tracker weg...
    Denkst du? Ich kann dich beruhigen wir führen etwas Umfangreichere Server arbeiten durch.
    Aktueller Stand was und wie bekommt man ausreichend im TSC- IRC.

    Wir hatten in den vergangenen tagen schon Probleme, da diese nicht zu unser Zufriedenheit im Betrieb gelöst werden konnten, mussten wir den Tracker für eine Weile Offline nehmen.


    greeetz
    Missi
    Last edited by Instab; 15.12.18 at 01:02. Reason: zitat

  14. #25

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    Quote Originally Posted by Missi View Post
    Hallo zusammen,


    Denkst du? Ich kann dich beruhigen wir führen etwas Umfangreichere Server arbeiten durch.
    Aktueller Stand was und wie bekommt man ausreichend im TSC- IRC.

    Wir hatten in den vergangenen tagen schon Probleme, da diese nicht zu unser Zufriedenheit im Betrieb gelöst werden konnten, mussten wir den Tracker für eine Weile Offline nehmen.


    greeetz
    Missi
    lese die Sätze nochmal selbst durch .

    Denkst du? Ich kann dich beruhigen wir führen etwas Umfangreichere Server arbeiten durch.
    &

    Wir hatten in den vergangenen tagen schon Probleme
    was stimmt den davon nun ?

    mussten wir den Tracker für eine Weile Offline nehmen.
    der ist mal eher da und mal nicht da.
    kommt auch oft Passwort und/oder Name falsch

    lasst ihn ganz schlafen ist wohl die bessere alternative, für euch und die User , die dort dran hängen und blauäugig herumlaufen.
    Last edited by Flux; 16.12.18 at 15:49.
    Thanks

  15. Who Said Thanks:

    Rebound (16.12.18)

  16. #26
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    War schon immer ein Saftladen. Man muss sich ja nur das Security-Review durchlesen. Dann weiß man alles was man wissen muss.


    Thanks

  17. Who Said Thanks:

    Turnschuh (18.12.18) , Flux (16.12.18)

  18. #27
    Missi
    Quote Originally Posted by Rebound View Post
    War schon immer ein Saftladen. Man muss sich ja nur das Security-Review durchlesen. Dann weiß man alles was man wissen muss.
    Guten Abend zusammen,

    Rebound, wir kennen alle das Preview und deine Meinung zu TSC, ja der Umgang mit der Situation 2015 war nicht die feine Englische da gebe ich dir recht, musst jetzt aber nicht hier noch 10 Jahre drauf rum reiten.
    Das wichtigste zu der damaligen Situation ist doch das die Lücken umgehend gefixt wurden.
    Gerne können wir uns mal zusammen setzen wenn der Tracker wieder richtig läuft und ggf. neu testen, das dieser Shitstorm mal ein ende hat hier.

    @Flux

    Ich weis was ich sagte und wenn du das aus den Kontext reißt ist das weniger schön.
    Gerne noch mal, wir hatten Performance Probleme ca. 2 tage vor dem Down, diese konnten im Betrieb nicht gelöst werden daher mussten wir den Tracker Offline nehmen, diese Gelegenheit haben wir gleich genutzt diverse Sachen zu erneuern.

    Wir werden noch ein paar Tage brauchen bis alles wieder 100% funktioniert......


    greetz
    Missi

  19. #28
    Ich denke nicht, dass Rebound einen Tracker zwei mal testen würde. Die Gefahr nichts zu finden und dann ein unsafe (= epischer Sieg) in ein safe zu wandeln würde er nicht machen.

    Quote Originally Posted by Missi View Post
    wir hatten Performance Probleme

    &

    Wir werden noch ein paar Tage brauchen bis alles wieder 100% funktioniert......
    Last edited by Verification; 17.12.18 at 19:19.
    Thanks

  20. Who Said Thanks:

    Turnschuh (18.12.18) , Flux (17.12.18)

  21. #29

    Join Date
    04.06.17
    Posts
    21
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 sssssss21
    Quote Originally Posted by Verification View Post
    Ich denke nicht, dass Rebound einen Tracker zwei mal testen würde. Die Gefahr nichts zu finden und dann ein unsafe (= epischer Sieg) in ein safe zu wandeln würde er nicht machen.
    Also bei Andraste hat er seinerzeit genau das gemacht, was du hier als Ding der Unmöglichkeit bezeichnest.

    Quote Originally Posted by Missi View Post
    wir hatten Performance Probleme ca. 2 tage vor dem Down, diese konnten im Betrieb nicht gelöst werden daher mussten wir den Tracker Offline nehmen, diese Gelegenheit haben wir gleich genutzt diverse Sachen zu erneuern.
    Wir werden noch ein paar Tage brauchen bis alles wieder 100% funktioniert......
    100%? Nun sind wir aber alle gespannt auf die neue Source (Edith: war wohl nix noch immer der alte Schund).
    Last edited by pombaer; 08.01.19 at 22:48.
    Thanks

  22. Who Said Thanks:

    Flux (17.04.19)

  23. #30

    Join Date
    01.08.09
    Location
    Deutschland
    P2P Client
    2.0.4
    Posts
    155
    Activity Longevity
    0/20 18/20
    Today Posts
    0/5 ssssss155
    Der Tracker steht sowieso schon am Abgrund muss nur noch herunter fallen.
    Das derzeitige Team dort hat alles getan um das zu bewerkstelligen.
    Hat damals angefangen mit den Clienten ( das viele nicht mehr in der Whitelist sind) und hat sich seitdem auch nicht wieder erholt.
    MfG
    Thanks

  24. Who Said Thanks:

    Flux (10.01.19)

Closed Thread
Page 2 of 4 FirstFirst 1234 LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •