Tracker: D-T-W
Source: Die gleiche Schrott-Source wie bei den meisten anderen deutschen Trackern.
Dieses Mal geht’s D-T-W, was auch immer das heißen soll, an den Kragen. Die Tracker-Source kann ich nicht identifizieren, ist aber der gleiche Müll, der in Deutschland bei vielen Trackern scheinbar angesagt ist. So viel kann ich vorab verraten, auch hier sind die gleichen Lücken vorhanden, wie in den anderen Trackern mit der gleichen oder einer ähnlichen Source.
Serversicherheit
OS: Ubuntu
Webserver: Apache 2.4.7
PHP: 5.5.9 (aktuell 5.5.29)
SMTP: Postfix
SSH: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2, Standardport!
Wie auch bei w00t, haben wir hier zwei ähnliche Ports offen: 8000 und 8001. Letzterer liefert eine identische Antwort, was auf ein gängiges Produkt schließen lässt.
Der Webserver und die PHP Version ist immerhin nicht total veraltet, was an dieser Stelle gar nicht mal so schlecht ist.
Weniger cool ist allerdings, dass PhpMyAdmin direkt zugänglich ist (phpMyAdmin).
Im Endeffekt sieht es wieder einmal nach einer Standardinstallation aus, die nicht gepflegt und schlecht konfiguriert ist. Zudem handelt es sich um einen OVH Server und die Domain wird von einer deutschen Firma verwaltet, somit kann man guten Gewissens sagen, dass Sicherheitsbewußtsein hier Mangelware ist.
Trackersicherheit
Wie bereits angesprochen verwendet auch D-T-W eine häufig benutzte Source im deutschsprachigen Trackerraum. Daher war es nicht besonders schwer, auch hier ein paar schwerwiegende Sicherheitslücken zu finden. Nachfolgend habe ich die vorhanden Datenbanken aufgelistet und einen kleinen Auszug aus der Benutzertabelle hinzugefügt.
Datenbanken:
- beer
- information_schema
- mysql
- performance_schema
- phpmyadmin
- vmail
ID Class Pin Username Passhash 11 220 badjoker.joker09@***.com 1608 JimBeam 87203cf8f79a7f8632914d2154243010 36 13 burni2003@***.de 7656 burni 12243bac481cde19162854e38b79b6bc 92 13 evilsadness@***.de 0000 Evil d0da5579fcc80c60c577076983f9ab73
Interessant zu sehen, dass man auch einen PIN mit vier mal der gleichen Zahl festlegen kann. So macht ein PIN natürlich wenig Sinn.
Fazit
Kurz und knackig: Sicherheit und Teamkompetenz ist leider Mangelware. Der Server wird vernachlässigt und die Source ist voller Löcher. Ich kann von diesem Tracker nur abraten.
Bookmarks