Tracker: w00t
Source: Custom NV-Source
Stück für Stück versuche ich meine wirklich lange Liste an Trackern abzuarbeiten. Heute bin ich bei w00t angekommen. Ich wunder mich ja wirklich immer wieder auf’s Neue, was es in Deutschland alles für Tracker gibt. Würden mich die User nicht darauf hinweisen, hätte ich noch nie etwas von diesem Tracker gehört. Aber ich stelle mich gerne in den Dienst der Community, weshalb ich jetzt mit dem Security-Review von w00t loslege. Ein besonderer Dank gilt Instab, der mich bei dem Part Serversicherheit ab sofort unterstützen wird und es bei diesem Review auch schon tatkräftig getan hat.
Serversicherheit
OS: Linux, Debian
Webserver: Apache
SMTP: Postfix
Ebenfalls von außen erreichbar ist MySQL und die Ports 8010 und 8011. Letzterer erwartet direkt ein Passwort, aber es bleibt auf den ersten Blick unklar, um welchen Dienst es sich handelt.
Die Datenbank von außen auf dem Standardport erreichbar zu haben ist grundsätzlich keine gute Idee. Auch wenn, wie in diesem Fall, ein Hostfilter das Ganze beschränkt.
Alles in allem sieht es nach einer mangelhaft konfigurierten Standardinstallation ohne Firewall aus, die in fast jeder Hinsicht noch Luft nach oben hat.
Ich konnte zudem die Support-Mail Adresse von w00t heraufinden, da diese im Klartext in einem der PHP-Dateien steht: woot-support@z1p.biz
Trackersicherheit
Bei w00t war es verhältnismäßig schwierig eine Lücke ausfindig zu machen. Die beliebtesten Lücken bei deutschen Trackern waren gut abgesichert, als ich die Hoffnung dann gerade aufgeben wollte, habe ich allerdings doch noch eine ziemlich gravierende gefunden. Auch hiermit ist es wieder möglich, Zugriff auf die Datenbank zu erhalten und je nach investierter Zeit den Tracker natürlich in vollem Umfang zu hacken. Nachfolgend habe ich die vorhandenen Datenbanken aufgelistet und exemplarisch einen Auszug aus der Benutzertabelle vom Tracker.
Datenbanken
- f1
- forum-db
- information_schema
- tracker-db
ID Added Class Username Passhash 0 2009-03-24 23:29:51 300 james@butler.system James 57e3863e0f916e7fd84e7f915a9a8ab5 1 2009-02-22 23:13:18 300 woodstock@woot.dyndns.dk Woodstock c0bc68dcea7579b2e55b4da71262fa9e 2 2009-02-22 23:22:03 50 junevil@***.de Kokoetta 715a59f7a22b968d5a80839ef75e2122 3 2009-02-23 23:59:21 52 thegamehhh@***.dyndns.dk TheGameHHH 922780054ef7ef8752d352a939c3ad63 4 2009-02-24 21:04:18 200 smoooth@***.dyndns.dk SmOOOth 31a1f40cfb008f4408df4a7fbc2c6e6d
Fazit
Um den Server steht es schlecht, auch wenn es schon schlimmere Kandidaten gab. Eine regelmäßige Wartung unf Pflege sieht anders aus. Um den Tracker steht es noch schlechter. Potenzielle Angreifer können sich durch wenig Arbeitsaufwand Zugriff auf die Datenbank verschaffen und sämtliche sensible Daten auslesen. Grundsätzlich finde ich w00t von der Gestaltung, im Vergleich zu den meisten anderen deutschen Trackern, gar nicht mal so schlecht. Aber da dies hier ein Security-Review ist, ist der Tracker leider durchgefallen.
PS.: Wer gerne ein Review von seinem Lieblings- oder Hometracker haben will, kann mir jederzeit eine PN schreiben.
Bookmarks