Nebezpečný Total Commander..

Total Commander patří k nejpopulárnějším FTP klientům, i když dnes existují spolehlivé a podobně nabušené free náhrady. V poslední době se však objevily hacknuté stránky, k nimž získali hackeři přístup právě díky možnosti ukládání hesel v TC.

 

Když mi vloni kdosi psal, že moje stránky vykazují virus, docela jsem se divil. Ale skutečně, když jsem otevřel indexový soubor, objevil se v HTML kódu vložený java skript, který sem nejen nepatřil, ale vykazoval všechny znaky viru. Celý java skript jsem smazal a stránky šlapaly. Měsíc. Než se v indexovém souboru opět objevil java skript...

Podobných útoků, jak se mi podařilo zjistit u různých hostingových firem, je víc. A podařilo se nakonec i zjistit, jak se vetřelci mohou k FTP účtům dostat. Vše samozřejmě provedou roboti, kteří během několika sekund dokáží vložit java skript do několika desítek stránek, než je lidsky zvládnutelné. Někdy dokáží jednomu klientovi napadnout i více webů (na různých serverech) současně.

Problém tkví v možnosti Total Commanderu ukládat hesla. Ta se ukládají do souboru wcx_ftp.ini, který najdete ve složce Windows. Najdete zde nejen adresy serverů a login, ale i hesla. Ano, v zakódovaném tvaru např. 2XC546DRT23 (teď si krutě vymýšlím :-)), ale podívejte se třeba na tyto stránky.

Najdete zde jednoduchý prográmek FTP passwords‘ decrypting tool 1.2 - nijak překvapivě ruské výroby -, který dokáže ona výše zmíněná nesmyslná čísla jednoduše dekódovat. Podobně existuje prográmek ShowPass. Hackeři mají tedy hned dvě možnosti - tyto dva prográmky samy o sobě mohou odesílat informace (někteří uživatelé na internetu v diskuzních fórech pátrají, proč jejich TC vykazuje komunikaci s internetem, i když oni zrovna nic nepřenášejí), případně se stačí dostat k onomu systémovému souboru ve Windows, kde jsou hesla uložena a jednoduchým algoritmem si je dekódovat.

Takto se pak dá dostat ke všem FTP stránkám, která máte v TC uložena (a čistě teoreticky nemusí jít jen o Total Commander, ale jakýkoliv FTP klient, jenž ukládá hesla) a zde změnit všechny index.htm a index.html stránky. Ale robot dokáže napadnout i jakékoliv jiné HTML stránky...

Zatím se mi nepodařilo najít, ani na www.viry.cz, ani na secunia.com, informaci, o jaký přesně virus jde (možná Trojan.Renver nebo Backdoor.Trodal), a tím pádem ani návod na odstranění. A protože nikdo učený z nebe nespadl, budu rád za rozumné připomínky níže v komentářích.

Jediné dva způsoby obrany, vlastně tři, jsou tedy vlastně zástupné. Prvním je změna hesel u všech napadnutých FTP účtů (poté, co jste napadené soubory upravili a nebezpečný java skript smazali). A samozřejmě nutnost tato nová hesla v Total Commanderu neukládat. Pak je také možnost uložit si hesla k FTP účtům do obyčejného texťáku a ten někam na neobvyklé místo na disku, a pak celý soubor wcx_ftp.ini smazat.

A konečně třetím způsobem je změna atributů jednotlivých HTML souborů na FTP tak, že zrušíte možnost modifikace a zápisu. Povolíte je následně jen ve chvíli modifikace a zápisu z vaší strany a hned opět upravíte atribut zpět. Tato metoda zatím funguje. Snad ji nějaký robot opět neprolomí.

Jak jsem napsal, budu rád za věcnou diskuzi k tomuto problému, protože jsem skutečně na internetu o problému nic moc nenašel a hostingové společnosti podobné útoky hlásí stále častěji.

 

Článok bol prebratý zo serveru www.dsl.cz

  • 0 Užívateľom pomohlo
Bola táto odpoveď nápomocná?

Súvisiace Články

Tlač stránky v Internet Explorer 7 bez hlavičky a päty

Hlavičky a päty, ktoré vždy spoločne s tlačovou stránku pri tlači...

Zmena DNS záznamov v host file

Pri migrácii stránky k novému poskytovateľovi webhostingových služieb zvyčajne chceme vidieť, ako...

Máte vírus na stránke?

V poslednom období  je zaznamenané veľké množstvo domén v rámci slovenského a svetového internetu...

Moja stránka sa nezobrazuje vo vyhľadávači Google, čo mám spraviť?

Stačí počkať na zaindexovanie webstránky zo strany Google, poprípade si ju môžete sami zaradiť na...

Aký je rozdiel medzi doménou a webhostingom?

Webhosting Webhosting je prenájom priestoru pre internetové stránky na cudzom serveri....