Closed Thread
Results 1 to 12 of 12

Thread: eXtreme Hot

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730

    eXtreme Hot

    Tracker: eXtreme Hot
    Source: NV-Source Derivat

    Im Rahmen unserer TOG-Reviews haben wir eXtreme Hot etwas eingehender untersucht.


    Serversicherheit

    OS: Linux, Ubuntu
    Webserver: Apache 2.4.7
    SMTP: Postfix
    SSH: OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.12

    SSH auf dem Standardport und ein offener Mailserver lassen nichts Gutes hoffen. Die Apache Version ist von 2013 und sollte dringend mal aktualisiert werden.

    Als Serverstandort wurde NL und als Hoster Leaseweb gewählt. Ideal ist das sicherlich auch nicht da innerhalb der EU und direktes Nachbarland von Deutschland, jedoch hat sich NL in der Vergangenheit in Sachen Filesharing schon häufig als liberal gezeigt. Für ein Tracker dieser Größe sollte der Standort deshalb ausreichen. Besser wäre natürlich trotzdem eine größere Entfernung - am besten außerhalb des Gültigkeitbereichs der EU.


    Trackersicherheit

    Als zusätzlicher Schutz wird CTracker benutzt. Dies scheint zu funktionieren. Wir konnten zwar potentielle Sicherheitslücken finden, diese jedoch aufgrund der zusätzlichen Überprüfungen nicht ausnutzen. Also Glück im Unglück für den Trackerbetreiber kann man sagen.


    Fazit

    Server und Source überzeugen beide nicht besonders, da wir aber nicht einbrechen konnten, müssen wir mit einem Zähneknirschen ein Safe vergeben. Wir empfehlen den Betreibern trotzdem den Server in Ordnung zu bringen und die Source auf mögliche Lücken zu untersuchen. Sobald CTracker nicht mehr läuft, kann man den Tracker höchstwahrscheinlich ohne größere Anstrengungen hacken.



    Thanks

  2. Who Said Thanks:

    DevilsCut (20.03.19) , 4n0nym0u5 (16.03.19) , Rednesierder (16.03.19) , Flux (15.03.19) , Snitlev (14.03.19) , Violence (14.03.19)

  3. #2

    Join Date
    15.03.19
    Location
    eXtremeHoT
    Posts
    6
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 ssssssss6

    Exclamation Analyse ????

    Hallo werter Autor

    Deine "Einschätzung" besitzt so im Grunde keine Berwertungs-Grundlage. Was hier aufgeführt wird, ist genau das, was ich nach ausen geben will. Soviel zu den versionen und Daten.

    Um etwas wirklich Bewerten zu können, muss man die Herangehensweise kennen.
    Übersetzt: Test-Szenario => erwartetes Resultat => Tatsächliches Resultat

    Mich würde sehr dieses Test-Protokoll interessieren. Woher kommen die Erkenntnisse - was wurde wie getestet? Wenn es das ist, was ich in den Logs gefunden/gesehen habe -- ist es gelinde gesagt stümperhaft. Nichts desto trotz möchte ich gern das komplette Test-Protokoll einsehen, um diese Angaben hier korrekt bewerten zu können. Es gibt nirgends im Netz eine wirklich sichere Seite. Einzig der Aufwand einzubrechen und Schaden anzurichten ist limitiert.

    zu den Punkten:
    SSH (22): akzeptiert nur meinen persönlichen Key (liegt dieser vor?)
    SMTP: kann nur senden und das auch nur an ein einziges Ziel
    Serverstandort: schlicht und ergreifend falsch! (wir hosten in Skandinavien)
    Apache: ja -- 2013 aber seit seeehr langer Zeit gehärtet

    Dies als Review auf diesen Thread. Ich bitte nun um konstruktive Reaktion und über eine PM kann ich gern eine eMail für den Testbericht bereitstellen. Erst danach kann ich dieses hier korrekt bewerten.

    in diesem Sinne
    Cerberus
    (the Hell himself)
    Last edited by eXtremeHoT; 15.03.19 at 08:44.
    Thanks

  4. Who Said Thanks:

    PRIME (25.04.19) , GMan (17.03.19)

  5. #3
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Klar, ein richtiges Review dauert Tage oder Wochen. Das sind hier nur rudimentäre Checks die sich auf Dinge konzentrieren, die absolut selbstverständlich sein sollten. Das erste was man bei einem neuen Server nun mal tut, ist den SSH-Port ändern. Unsere Tests bestehen aus mehreren Stufen. Dazu gehören automatisierte und manuelle Tests. Diese werden wir hier nicht offenlegen.

    Wie auch schon an anderer Stelle beschrieben, bieten unsere Tests keinerlei Aussagekraft. Eben auch weil sie nur mit beschränkten Mitteln stattfinden. Aber sie können als Anhaltepunkt dienen und mehr wollen wir hier auch gar nicht liefern.

    Wir konnten nun mal einige Stellen auf dem Tracker finden die Anomalien aufweisen, was auf potentielle SQL-Injections hindeutet. Da hat euch unserer Auffassung nur der CTracker gerettet, der sowas abfängt.

    In der Zeit wo du diesen Beitrag geschrieben hast, hättest du die Mängel auf dem Server schon längst abstellen können. Wir sind hier auch nicht dazu da um zu erklären wie man einen Server richtig konfiguriert und welche Anfängerfehler man vermeiden sollte. Wenn du der Meinung bist alles ist sicher und wir schreiben hier nur Blödsinn, ignorier dieses Review doch einfach.

    Quote Originally Posted by eXtremeHoT View Post
    SMTP: kann nur senden und das auch nur an ein einziges Ziel
    Du gibst es also sogar zu, dass dafür kein offener Port benötigt wird. Wieso ist er dann überhaupt offen?


    Thanks

  6. Who Said Thanks:

    Rednesierder (16.03.19)

  7. #4

    Join Date
    15.03.19
    Location
    eXtremeHoT
    Posts
    6
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 ssssssss6
    Dazu gehören automatisierte und manuelle Tests. Diese werden wir hier nicht offenlegen.
    Von offenlegen spricht niemand - ich will einen Closed-Einblick in den Bericht haben. Dies habe ich auch deutlich gemacht.

    Wir konnten nun mal einige Stellen auf dem Tracker finden die Anomalien aufweisen, was auf potentielle SQL-Injections hindeutet.
    Das häte ich gern belegt (bitte per PM / eMail)

    Da hat euch unserer Auffassung nur der CTracker gerettet, der sowas abfängt.
    öhm -- das Bild ist zwar noch drin -- aber der Code längt inaktiv ...

    In der Zeit wo du diesen Beitrag geschrieben hast, hättest du die Mängel auf dem Server schon längst abstellen können.
    Mein Zeitmanagement ist in dem Fall nicht von Bedeutung.

    Wir sind hier auch nicht dazu da um zu erklären wie man einen Server richtig konfiguriert und welche Anfängerfehler man vermeiden sollte.
    Wobei wir wieder an der Stelle sind, das ihr nicht darlegt, was ihr da macht.

    Wenn du der Meinung bist alles ist sicher und wir schreiben hier nur Blödsinn, ignorier dieses Review doch einfach.
    Wo auch immer genau Du diese Einsicht her hast - ich ignoriere das sicher nicht.

    1.) Wenn ihr das korrekt machen wollen würdet, dann fragt ihr nach einem Account und meldet es dann beim Team an.
    2.) Wenn ihr korrekt arbeiten wollt und eine ECHTE Hilfe sein wollt, gehen die Ergebnisse als Protokoll an das Team

    Ich bin nach wie vor ein Verfechter einer konstruktiven Lösung. Ich habe geschrieben (und wiederhole es nochmal) - ohne das Protokoll kann ich die Angaben hier nicht bewerten.

    mfg und auf baldige (PM-)Antwort
    Thanks

  8. Who Said Thanks:

    GMan (17.03.19) , Rednesierder (16.03.19)

  9. #5
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Quote Originally Posted by eXtremeHoT View Post
    1.) Wenn ihr das korrekt machen wollen würdet, dann fragt ihr nach einem Account und meldet es dann beim Team an.
    2.) Wenn ihr korrekt arbeiten wollt und eine ECHTE Hilfe sein wollt, gehen die Ergebnisse als Protokoll an das Team
    Die Reviews hier sind für die Nutzer und nicht die Betreiber. Da hast du irgendwas falsch verstanden.

    Wir bieten hier nur unwissenden Benutzern eine subjektive Einschätzung unserer Sicht auf einen Tracker und dies möglichst einfach sowie textuell aufbereitet, sodass auch für technisch weniger versierte Nutzer alles verständlich ist. Black-Box Tests sind immer schwierig, da man nun mal keinen Zugriff auf die Source hat. Auch False Positives können wir natürlich nicht ausschließen. Wir erheben auch keinen Anspruch auf Vollständigkeit - haben wir auch nie behauptet. Des Weiteren haben wir gar kein Interesse daran Kontakt zu den Betreibern aufzunehmen und dafür auch gar keine Zeit. Wäre außerdem auch ziemlich witzlos, wenn man alles vorher ankündigt.

    Es ist davon abgesehen auch ziemlich anmaßend von dir uns vorschreiben zu wollen, wie ein "korrektes Review" abzulaufen hat. Wir haben unser internes Verfahren dafür, mehr muss man nicht wissen. Auch deine unverschämte Art "ich will", spricht Bände.

    Zudem hat dich sowieso niemand um eine Stellungnahme hier gebeten. Wenn du das tun willst, tue es auf Basis dieses Reviews und höre auf hier rumzupöbeln.


    Thanks

  10. Who Said Thanks:

    Rednesierder (16.03.19) , Violence (15.03.19) , jupp56 (15.03.19) , waffi (15.03.19)

  11. #6

    Join Date
    15.03.19
    Location
    eXtremeHoT
    Posts
    6
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 ssssssss6
    Okay...

    Fassen wir einmal zusammen:
    1.) Ihr testet etwas, was ihr nicht kommuniziert
    2.) Ob eure test Fehler enthalten wird/kann nicht geprüft werden
    3.) Manöverkritik ist unerwünscht
    4.) Closed-Einblick gibt es nicht (vermutlich, weil es kein Protokoll gibt)
    5.) Falsch-Informationen werden auch nicht korrigiert und/oder angepasst

    Ok - Aktuell kann ich den "Test" daher nach wie vor nicht bewerten.
    Ich halte mich an die LOG-Files des Servers und bekomme da schon raus was ihr eigendlich vor hattet.

    Es wurden Behauptungen in den Raum gestellt, welche weder Bewiesen, noch belegt wurden.
    Ich habe um Koopieration ersucht und meine selbige Kund getan.

    Aus meiner Sicht geht es hier keinesfalls um die Usersicherheit oder gar ein objektives Review.
    Ich habe zu keinem einzigen Zeitpunkt "rumgepöbelt" - ich bin an einer Zielorientierten Lösung interessiert.

    Anfänglich dachte ich ernsthaft, das es gewünscht ist etwas zu verbessern - aber es stellte Sich einzig als Anschuldigungs-Pranger heraus.
    Unbewiesen und unkommentiert -- sehr Schade.

    Ich bin nach wie vor Gesprächsbereit - obwohl ich dies hier nicht erkennen kann.

    mfg
    Thanks

  12. Who Said Thanks:

    PRIME (25.04.19) , GMan (17.03.19) , Rednesierder (16.03.19) , Mr.Spuck (15.03.19) , uk501 (15.03.19)

  13. #7
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,661
    Activity Longevity
    4/20 18/20
    Today Posts
    0/5 sssss6661
    Ich habe um Koopieration ersucht
    naja das ist etwas geschönt. du verlangst detailierten einblick in unsere methoden, dem wir logischerweise nicht nachkommen.

    Einzig der Aufwand einzubrechen und Schaden anzurichten ist limitiert
    exakt das ist die grundlage eines jeden sicherheitskonzepts. nämlich es einem potentiellen angreifer so schwer wie möglich zu machen. dabei zählt jede maßnahme, auch wenn es eine kleinere ist. und genau dazu zählen methoden wie die vermeidung von standardports. je mehr hindernisse umso besser. auch wenn es kleine sind.
    im falle von ssh z.b. hat man schonmal den großteil der automatisierten versuche los, durch so eine simple methode wie den port zu ändern.

    SMTP: kann nur senden und das auch nur an ein einziges Ziel
    also muß er von außen nicht erreichbar sein.


    wie Rebound schon ausgeführt hat, diese tests hier sind ein kostenloser und freiwilliger service unsererseits. daher gibt es weder seitens der betreiber, noch der benutzer irgendwelche ansprüche, die man geltend machen könnte.
    Your account has been disabled.
    Thanks

  14. Who Said Thanks:

    Snitlev (16.03.19)

  15. #8

    Join Date
    15.03.19
    Location
    eXtremeHoT
    Posts
    6
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 ssssssss6
    Auch wieder recht nichtssagend.
    Ich mache sowas beruflich - und wenn wir Pentest durchgeführt bekommen, wissen wir erstens Bescheid und bekommen zweitens ein Protokoll. Erst dann ist der Test aussagekräftig.

    Nunja -- leider ist es nun wie es ist.
    Die Server-Logs habe ich gesichert und werde den Test auswerten.
    Die IP habe ich auch und den zuggehörigen User-Account.
    Sollte er bis Soinntag keine plausible Erklärung haben, ist der Account dicht.

    Eventuell als kleinen Hinweis meinerseits -- ihr seid noch nicht mal an der ersten Schranke vorbei bekommen.
    Von SQL-Injection ist da bei weitem noch nichts zu sehen gewesen -- 13.03.2019 ab 20:47

    Ich erstelle dann eine Auswertung und stelle Sie im Forum öffendlich. Dies wird Meinungslos geschehen, damit sich jeder leser sein eigens Bild darüber zeichnen kann.

    Trotz allem -- vielen Dank.
    Schade, das es so verläuft - aber nicht verwunderlich.
    Thanks

  16. Who Said Thanks:

    GMan (17.03.19) , Mr.Spuck (16.03.19) , Rednesierder (16.03.19)

  17. #9
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,661
    Activity Longevity
    4/20 18/20
    Today Posts
    0/5 sssss6661
    wo ist denn das problem?
    ihr habt ein "safe" bekommen und daß man den server besser machen kann, ist unstrittig.
    Your account has been disabled.
    Thanks

  18. Who Said Thanks:

    jupp56 (16.03.19) , xJ9_ (16.03.19)

  19. #10
    VIP
    Snitlev's Avatar
    Join Date
    30.09.08
    Location
    WWW
    P2P Client
    legal, illegal, scheißegal
    Posts
    10,437
    Activity Longevity
    1/20 19/20
    Today Posts
    0/5 ssss10437
    @eXtremeHoT als Leser dieser Reviews und Ersteinschätzungen zu div. Alt denke ich "Getroffene Hunde bellen", denn kein anderer reagiert auf diese SB-I Bewertungen seitens "Gods-Vorstellungen". Aber ok es geht dir wohl eher um dein Ego, anstatt um die primäre Sicherheit der User.
    Da du dich beruflich damit auseinandersetzt ist es ja legitim deine Kenntnisse hier kundzutun. Ich persönlich freue mich wenn sich Verantwortliche hier auf diese Reviews persönlich äussern, nur die wenigstens sind bereit im Gegensatz zu dir dieses hier öffentlich auszutragen, das finde ich gut von dir.

    Wir als User wie auch ich selber habe hier viele Reviews von ALT erstellt, aber um die Sicherheit besser einschätzen zu können bin ich froh dass man zumindest hier eine Ersteinschätzung bekommen kann, was man letztendlich davon hält bleibt ja jedem selber überlassen.

    Wo bekommt man sonst eine deutschsprachige Review und subjektive Einschätzung zur Sicherheit der Tracker. ich weiß keine andere als hier.

    mfg

    Wer versucht zu rennen, bevor er laufen kann, kommt meistens zu Fall



    stop animal experiments, take child molesters - they like pain!


    Besser man bereut was man getan hat, anstatt zu bereuen das man es unterlassen hat
    Thanks

  20. Who Said Thanks:

    Rednesierder (17.03.19) , jupp56 (16.03.19) , waffi (16.03.19) , xJ9_ (16.03.19) , 4n0nym0u5 (16.03.19)

  21. #11

    Join Date
    15.03.19
    Location
    eXtremeHoT
    Posts
    6
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 ssssssss6
    Alt denke ich "Getroffene Hunde bellen", denn kein anderer reagiert auf diese SB-I Bewertungen seitens "Gods-Vorstellungen". Aber ok es geht dir wohl eher um dein Ego, anstatt um die primäre Sicherheit der User.
    Leider ist genau das NICHT meine Intension. Dies wird aber einfach nicht erkannt.

    Ich habe mich mit unserem Spezi zusammengesetzt und den Test analysiert:
    http://www.netvision-technik.de/foru...ad.php?p=84641
    Damit er nicht manipuliert wird, ist er nur extern zu lesen.

    Aufgrund meiner Tätigkeit und der Verwenung eines Privat-Aschlusses für den Test liegen mir bereits die Anschluss-Inhaberdaten vor. Diese bleiben bei mir unter Verschluss.
    Für Konstruktiv- und Zielführende Konversation, stehe ich nach wie vor zur Verfügung.

    mfg
    Thanks

  22. Who Said Thanks:

    Rednesierder (17.03.19) , DevilsCut (17.03.19) , GMan (17.03.19)

  23. #12
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,661
    Activity Longevity
    4/20 18/20
    Today Posts
    0/5 sssss6661
    Quote Originally Posted by eXtremeHoT View Post
    Für Konstruktiv- und Zielführende Konversation, stehe ich nach wie vor zur Verfügung.
    naja da gäbe es z.b. folgendes aus deinem bericht:

    Dies will ich nicht im Life-System haben. Wobei mir Pen-Tests im Life-System
    zum einen heißt das "Live-System" (https://de.wikipedia.org/wiki/Live-System) und zum anderen glaube ich, daß du was anderes meinst. vom kontext her meinst du wahrscheinlich "Produktivsystem" (https://www.computerwissen-online.de...w&content=2618).


    aber davon abgesehen ist mir wie gesagt nicht klar, was dein problem ist. ihr habt bestanden mit ein paar schönheitsfehlern ... und das wars. sache abgehakt.
    Your account has been disabled.
    Thanks

  24. Who Said Thanks:

    jupp56 (18.03.19) , Rebound (18.03.19)

Closed Thread

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •