Closed Thread
Results 1 to 7 of 7

Thread: BitCity Reloaded

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    BitCity Reloaded

    Tracker: BitCity-Reloaded
    Source: NV-Source

    Hier sind wir wieder, mit einer neuen Ausgabe unserer berühmt berüchtigten Security-Reviews.
    Heute hat es den Tracker BitCity-Reloaded erwischt. Ob es tatsächlich ein offizieller Nachfolger vom damaligen BitCity-Tracker ist, weiß ich nicht genau. Falls ja, sind die Verantwortlichen von damals jedenfalls nicht mehr am Ruder. Auch dieses Review wird wieder die eine oder andere Überraschung für euch parat haben.

    Serversicherheit

    OS: Linux, Debian 6
    MAIL: Postfix, Dovecot
    WWW: nginx/0.7.67, lighttpd 1.4.28
    SSH: OpenSSH 5.5p1 Debian 6+squeeze5

    Der Serverstandort in Moldavien ist gut, der Rest weniger. Zwei verschiedene Webserverversionen die beide bekannte Lücken haben sowie drei offene RPC Ports auf die ich, im Interesse der Seite, nicht näher eingehe. Die Notwendigkeit eines kompletten Mailservers für einen Tracker ist ebenfalls fraglich. Hinweise auf eine Firewall gab es keine.
    Alles in allem kein guter Eindruck, da unnötig viele Angriffspunkte gegeben werden und auch noch Software mit bekannten Schwachstellen Verwendung findet.

    Trackersicherheit

    Es gibt wieder mindestens eine bekannte Standardlücke, mit der man vollen Zugriff auf die Datenbank erhält. Es ist mittlerweile schon fast langweilig, weil fast alle Tracker die gleichen Sourcen mit den gleichen Lücken benutzen. Besonders amüsant ist ein Schriftwechsel zwischen Logitech (Sysop) und Legion (User), in dem sich über den Tracker „Nachtwerk“ lustig gemacht wird und dem stattgefundenen Hack von mir. Was für eine Ironie. Damit die Allgemeinheit auch etwas davon hat, folgt der PN-Verkehr zwischen den beiden.

    PN-Wechsel zwischen Logitech und Legion, Betreff: nachtwerk

    Quote Originally Posted by Legion
    moin du sack ^^
    lese http://www.sb-innovation.de/showthre...threadid=32804
    aprpops ^^ ganzen august std frei
    lg
    Quote Originally Posted by Logitech
    niceee

    wir arbeiten akteull an einer neun source, kein nv kein tebdev oder ts2 source, eine komplett neue :-D
    Auf Php7 :yahoo:
    https://bc-reloaded.net/BitCity/bitb...ab34cd7f17.jpg
    und scheiß sowieso auf Tiara und co
    Hier noch der obligatorische (zensierte [damit das Geheule nicht gleich wieder losgeht]) Auszug der Benutzertabelle. Es sind allerdings nur knapp über 2k Datensätze, was natürlich etwas mager ist. Damit haben wir aber auch gleich mal die Userzahl festgestellt.

    ID ip email added class username passhash
    18750 188.101.* habenixda@***.de 06.03.2013 16:03:06 5 Rick 1de6966a24ae2d8472d248d0fb2ed019
    18751 109.44.* ajagroup@*.com 01.12.2012 19:55:42 91 Logitech e098a1fd4f9064ff963d2f5bb5eebee3
    18754 37.187.* ajagroup@*.ai 16.12.2012 08:40:56 16 TorrentWirt b376473c9a54407473134814caf38d3c
    18755 37.48.* 23thstreet@*.com 16.12.2012 11: 01:36 18 23thStreet 371a3e20b30e435e38a4d7a8891fd642
    18756 193.73.* moonspell@*.com 16.12.2012 17:57:07 5 moonspell fa32d125e34ba937c2c3b87d469e7295
    18758 80.226.* kong@*.org 25.12.2012 14:48:59 1 Kong af99f1558adc2c367d54e67c6cd25303
    18761 193.159.* ba*@arcor.de 30.12.2012 21:24:57 5 Wraxx 13618e2bc0605cba3a20034a3cb54b5e
    18765 37.187.* paul*19*@*.com 05.01.2013 12: 27:49 5 4OG bbbdee373fc9c6049db47dddfa7c106a
    18767 91.66.* com*_b241k@gmx.de 09.01.2013 20:52:31 1 b241k 75b0a19018ba5987d18e593f4d34ec72
    18772 94.23.* wtf-*@*.de 18.01.2013 18:44:10 5 Sinus 4813b80729917e976c4c06f3d32a20a9
    18783 178.201.* nep*34@*.de 03.02.2013 16:36:14 5 AgF37 62963cb19d816f4bdc8bc9b807353416
    18784 78.52.* toyotagirl*@*.de 08.02.2013 23:21:41 4 toyotagirl 0afec73fa855371ecefda951f4425bd1
    18786 77.13.* dj_st*@*.de 09.02.2013 11:37:15 5 Derw 5d1ac45d54a45494ab19dd1d7e5ba996
    18787 88.150.* matz*@*.de 09.02.2013 11:44:37 4 Matarius 109c144ad6b1937322a548303ab28ac7

    Hier noch zwei Screens von der neuen Beta-Source an der gearbeitet wird. Ich weiß nicht, ob diese schon veröffentlicht wurden oder nicht. Ich poste sie trotzdem mal. Design sieht schon mal 0815 aus, Bootstrap lässt grüßen (auch wenn ich schon schlimmeres gesehen habe). Mir ist auch unklar, wieso die Leute immer der Meinung sind, eine eigene Source schreiben zu müssen. Es gibt genügend vernünftige Sourcen, die mit etwas Feintuning durchaus zu gebrauchen sind. Aber bitte, wenn man die Zeit und sonst nichts besseres zu tun hat…





    Fazit

    Kurz und knapp: Durchgefallen. Der Staff macht sich über andere Tracker lustig die gehackt wurden, schert sich aber selber nicht im geringsten um die eigene Sicherheit und somit um die Sicherheit der eigenen Benutzer. Das ist gleich in doppelter Hinsicht extrem unprofessionell und amateurhaft. Mit Freude erwarte ich die neue Beta-Source. Mit diesen Worten gebe ich zurück ins Studio. Nächster Halt: gods.lu



    Thanks

  2. Who Said Thanks:

    Patron (24.03.19) , picasa (06.03.18) , 5xxxxx (15.10.16) , LaTorrenta (25.09.16) , waffi (23.09.16) , MonsterLag (23.09.16) , Großmutter (21.09.16) , Freak69 (21.09.16) , Holland (20.09.16) , Jodito (20.09.16) , Kapusta (20.09.16) , Instab (20.09.16) , Lucius (20.09.16) , Snitlev (20.09.16) , Enigma (19.09.16)

  3. #2

    Join Date
    25.08.16
    Posts
    7
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 ssssssss7
    So liebe Gemeinde, Wir haben nun alle Dienste die nicht mehr genutzt werden und hinter einem Port standen,
    abgeschaltet, bzgl unseres Servers. :closedeyes: Wir konnten zudem 3 Php Lücken ausfindig machen, die gefixt wurden sind. Wir erwarten hierzu noch eine Antwort von Rebound. Der Zugriff sollte in sofern nicht mehr möglich sein, wenn wir bisher nichts Übersehen haben Wie schon erwähnt man hat nie aus gefixt
    Unter anderem haben wir auch eine Neuinstallation unserer Firewall vorgenommen Soweit der Stand der Dinge.

    In dem Sinne, warten wir mal ab
    .

    Euer Bit-City Team
    ^^^^^^^^^^^^^^^^^^^^^^
    Thanks

  4. Who Said Thanks:

    Snitlev (25.09.16)

  5. #3
    Das nenne ich mal ein super schnelles reagieren Auch wenn ich selbst leider nicht dort bin.

    LG
    Thanks

  6. #4

    Join Date
    29.09.16
    Posts
    12
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 sssssss12
    Hallo Ikke2323,

    wie kann ich euch im IRC erreichen?

    Gruß
    Piccolo

    ---------- Post Merged at 22:30 ---------- Previous Post was at 21:21 ----------

    Ich habe gerade erfahren, dass BC kein IRC besitzt. Wie kann ich ein Mitglied von BC erreichen?
    Leider kann ich noch keine PN´s verschicken. Mit dieser Nachricht komme ich der Funktion aber einen kleines Stück näher :)
    Thanks

  7. #5

    Join Date
    29.09.16
    Posts
    12
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 sssssss12
    Ikke2323, gibt es einen anderen Weg euch zu kontaktieren?
    Thanks

  8. #6

    Join Date
    26.05.17
    P2P Client
    Bit tornado
    Posts
    1
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 ssssssss1
    Hätte gerne eine Invite für BC war früher BF bin jetzt bei BW.
    Thanks

  9. #7

    Join Date
    11.06.17
    Posts
    8
    Activity Longevity
    0/20 8/20
    Today Posts
    0/5 ssssssss8
    Quote Originally Posted by piewi65 View Post
    Hätte gerne eine Invite für BC war früher BF bin jetzt bei BW.
    Wirf mal einen Blick ins GODS Forum. Dort werden unter anderem Invites für BC angeboten.
    Thanks

Closed Thread

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •