Closed Thread
Results 1 to 3 of 3

Thread: w00t

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730

    w00t

    Tracker: w00t
    Source: Custom NV-Source

    Stück für Stück versuche ich meine wirklich lange Liste an Trackern abzuarbeiten. Heute bin ich bei w00t angekommen. Ich wunder mich ja wirklich immer wieder auf’s Neue, was es in Deutschland alles für Tracker gibt. Würden mich die User nicht darauf hinweisen, hätte ich noch nie etwas von diesem Tracker gehört. Aber ich stelle mich gerne in den Dienst der Community, weshalb ich jetzt mit dem Security-Review von w00t loslege. Ein besonderer Dank gilt Instab, der mich bei dem Part Serversicherheit ab sofort unterstützen wird und es bei diesem Review auch schon tatkräftig getan hat.

    Serversicherheit

    OS: Linux, Debian
    Webserver: Apache
    SMTP: Postfix

    Ebenfalls von außen erreichbar ist MySQL und die Ports 8010 und 8011. Letzterer erwartet direkt ein Passwort, aber es bleibt auf den ersten Blick unklar, um welchen Dienst es sich handelt.
    Die Datenbank von außen auf dem Standardport erreichbar zu haben ist grundsätzlich keine gute Idee. Auch wenn, wie in diesem Fall, ein Hostfilter das Ganze beschränkt.
    Alles in allem sieht es nach einer mangelhaft konfigurierten Standardinstallation ohne Firewall aus, die in fast jeder Hinsicht noch Luft nach oben hat.
    Ich konnte zudem die Support-Mail Adresse von w00t heraufinden, da diese im Klartext in einem der PHP-Dateien steht: woot-support@z1p.biz

    Trackersicherheit

    Bei w00t war es verhältnismäßig schwierig eine Lücke ausfindig zu machen. Die beliebtesten Lücken bei deutschen Trackern waren gut abgesichert, als ich die Hoffnung dann gerade aufgeben wollte, habe ich allerdings doch noch eine ziemlich gravierende gefunden. Auch hiermit ist es wieder möglich, Zugriff auf die Datenbank zu erhalten und je nach investierter Zeit den Tracker natürlich in vollem Umfang zu hacken. Nachfolgend habe ich die vorhandenen Datenbanken aufgelistet und exemplarisch einen Auszug aus der Benutzertabelle vom Tracker.

    Datenbanken

    • f1
    • forum-db
    • information_schema
    • tracker-db



    ID Added Class Email Username Passhash
    0 2009-03-24 23:29:51 300 james@butler.system James 57e3863e0f916e7fd84e7f915a9a8ab5
    1 2009-02-22 23:13:18 300 woodstock@woot.dyndns.dk Woodstock c0bc68dcea7579b2e55b4da71262fa9e
    2 2009-02-22 23:22:03 50 junevil@***.de Kokoetta 715a59f7a22b968d5a80839ef75e2122
    3 2009-02-23 23:59:21 52 thegamehhh@***.dyndns.dk TheGameHHH 922780054ef7ef8752d352a939c3ad63
    4 2009-02-24 21:04:18 200 smoooth@***.dyndns.dk SmOOOth 31a1f40cfb008f4408df4a7fbc2c6e6d

    Fazit

    Um den Server steht es schlecht, auch wenn es schon schlimmere Kandidaten gab. Eine regelmäßige Wartung unf Pflege sieht anders aus. Um den Tracker steht es noch schlechter. Potenzielle Angreifer können sich durch wenig Arbeitsaufwand Zugriff auf die Datenbank verschaffen und sämtliche sensible Daten auslesen. Grundsätzlich finde ich w00t von der Gestaltung, im Vergleich zu den meisten anderen deutschen Trackern, gar nicht mal so schlecht. Aber da dies hier ein Security-Review ist, ist der Tracker leider durchgefallen.


    PS.: Wer gerne ein Review von seinem Lieblings- oder Hometracker haben will, kann mir jederzeit eine PN schreiben.


    Thanks

  2. Who Said Thanks:

    w00t (15.09.15) , Großmutter (14.09.15) , Snitlev (13.09.15) , blood (13.09.15)

  3. #2
    VIP
    Snitlev's Avatar
    Join Date
    30.09.08
    Location
    WWW
    P2P Client
    legal, illegal, scheißegal
    Posts
    10,437
    Activity Longevity
    1/20 19/20
    Today Posts
    0/5 ssss10437
    Das ist schon mal sehr begrüßenswert, dass sich das wOOt-Team aufgrund des Tests auf Tracker-Sicherheit, intensiv mit den Schwachstellen beschäftigt und diese auch beheben will

    Dem wOOt-Verantwortlichen kann ich wärmstens empfehlen sich diesbezüglich mal mit @Rebound auszutauschen

    Wichtige Information
    Die folgende Meldung ist wichtig
    für alle Mitglieder von w00t.
    Also bitte aufmerksam lesen.

    Wir wurden einer sog. Tracker Review unterzogen
    und haben den Test leider nicht bestanden.
    Direkt nach Bekanntgabe haben wir darauf reagiert
    und den Tracker sowie den Server ebenfalls
    weiteren Test unterzogen und konnten dadurch
    diverse Schwachstellen aufdecken und beheben.

    Es wurden dabei keine Daten kompromitiert
    und es gab auch keinen direkten Serverzugriff,
    sondern es konnten *lediglich* Inhalte der Datenbank ausgelesen werden,
    was ebenfalls schlimm genug ist.

    Da wir nachvollziehen können, dass einige von euch geschockt sein werden,
    bieten wir an auf Wunsch eure Daten/Account restlos zu löchen, sendet dazu eine TeamPM.
    Wer uns kennt, weiß dass wir von nun an noch wesentlich sorgfältiger agieren werden,
    alles doppelt und dreifach überprüfen, so wie es sich gehört.
    Wir sehen das ganze als eine Art Weckruf, da hinter der ganzen Aktion zum Glück
    keine bösen Absichten stecken.

    Wir möchten ebenfalls anmerken,
    dass wir diese Security Reviews sehr begrüssen.
    (Am liebsten mit Voranmeldung)

    Infolink: http://www.sb-innovation.de/showthre...threadid=32478

    Das obligatorische Passwort ändern sollte eigentlich
    selbstverständlich sein und trotzdem gibts es für jeden
    individuell nochmal einen Hinweis dazu
    welcher dann nach dem Ändern verschwindet.
    Quelle: wOOt






    regards
    Last edited by Snitlev; 15.09.15 at 08:11.

    Wer versucht zu rennen, bevor er laufen kann, kommt meistens zu Fall



    stop animal experiments, take child molesters - they like pain!


    Besser man bereut was man getan hat, anstatt zu bereuen das man es unterlassen hat
    Thanks

  4. Who Said Thanks:

    w00t (15.09.15) , Rebound (15.09.15)

  5. #3
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Finde ich gut, dass ein Tracker so offen damit umgeht. Bis auf die von mir veröffentlichten Daten wurde übrigens nichts gespeichert, anderweitig veröffentlicht oder ausgelesen. Diese Reviews dienen lediglich Informationszwecken und haben nicht die Absicht, sensible Daten zu entwenden oder Tracker nachhaltig zu schädigen.


    Thanks

  6. Who Said Thanks:

    Snitlev (15.09.15) , w00t (15.09.15)

Closed Thread

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •