Úvod > Články > Nebezpečný Total Commander?

Nebezpečný Total Commander?

Total Commander patří k nejpopulárnějším FTP klientům, i když dnes existují spolehlivé a podobně nabušené free náhrady. V poslední době se však objevily hacknuté stránky, k nimž získali hackeři přístup právě díky možnosti ukládání hesel v TC.

Když mi vloni kdosi psal, že moje stránky vykazují virus, docela jsem se divil. Ale skutečně, když jsem otevřel indexový soubor, objevil se v HTML kódu vložený java skript, který sem nejen nepatřil, ale vykazoval všechny znaky viru. Celý java skript jsem smazal a stránky šlapaly. Měsíc. Než se v indexovém souboru opět objevil java skript...

Podobných útoků, jak se mi podařilo zjistit u různých hostingových firem, je víc. A podařilo se nakonec i zjistit, jak se vetřelci mohou k FTP účtům dostat. Vše samozřejmě provedou roboti, kteří během několika sekund dokáží vložit java skript do několika desítek stránek, než je lidsky zvládnutelné. Někdy dokáží jednomu klientovi napadnout i více webů (na různých serverech) současně.

Problém tkví v možnosti Total Commanderu ukládat hesla. Ta se ukládají do souboru wcx_ftp.ini, který najdete ve složce Windows. Najdete zde nejen adresy serverů a login, ale i hesla. Ano, v zakódovaném tvaru např. 2XC546DRT23 (teď si krutě vymýšlím :-)), ale podívejte se třeba na tyto stránky.

Najdete zde jednoduchý prográmek FTP passwords‘ decrypting tool 1.2 – nijak překvapivě ruské výroby -, který dokáže ona výše zmíněná nesmyslná čísla jednoduše dekódovat. Podobně existuje prográmek ShowPass. Hackeři mají tedy hned dvě možnosti – tyto dva prográmky samy o sobě mohou odesílat informace (někteří uživatelé na internetu v diskuzních fórech pátrají, proč jejich TC vykazuje komunikaci s internetem, i když oni zrovna nic nepřenášejí), případně se stačí dostat k onomu systémovému souboru ve Windows, kde jsou hesla uložena a jednoduchým algoritmem si je dekódovat.

Takto se pak dá dostat ke všem FTP stránkám, která máte v TC uložena (a čistě teoreticky nemusí jít jen o Total Commander, ale jakýkoliv FTP klient, jenž ukládá hesla) a zde změnit všechny index.htm a index.html stránky. Ale robot dokáže napadnout i jakékoliv jiné HTML stránky...

Zatím se mi nepodařilo najít, ani na www.viry.cz, ani na secunia.com, informaci, o jaký přesně virus jde (možná Trojan.Renver nebo Backdoor.Trodal), a tím pádem ani návod na odstranění. A protože nikdo učený z nebe nespadl, budu rád za rozumné připomínky níže v komentářích.

Jediné dva způsoby obrany, vlastně tři, jsou tedy vlastně zástupné. Prvním je změna hesel u všech napadnutých FTP účtů (poté, co jste napadené soubory upravili a nebezpečný java skript smazali). A samozřejmě nutnost tato nová hesla v Total Commanderu neukládat. Pak je také možnost uložit si hesla k FTP účtům do obyčejného texťáku a ten někam na neobvyklé místo na disku, a pak celý soubor wcx_ftp.ini smazat.

A konečně třetím způsobem je změna atributů jednotlivých HTML souborů na FTP tak, že zrušíte možnost modifikace a zápisu. Povolíte je následně jen ve chvíli modifikace a zápisu z vaší strany a hned opět upravíte atribut zpět. Tato metoda zatím funguje. Snad ji nějaký robot opět neprolomí.

Jak jsem napsal, budu rád za věcnou diskuzi k tomuto problému, protože jsem skutečně na internetu o problému nic moc nenašel a hostingové společnosti podobné útoky hlásí stále častěji.

26. 3. 2008

Autor: Jan Lipšanský

Sdílejte

Přečtěte si také

 

Mapy.cz představují novinku

Seznam.cz přišel s novinkou pro turisty. Společnost přidala novou funkci do portálu Mapy.cz. Jedná se o možnost...

 

Windows 9: nač ten spěch?

Stále více hlasů ze zasvěcených kruhů mluví o tom, že Microsoft hodlá v srpnu představit svůj nejnovější operační...

 

Google nakupuje analytické nástroje: po Emu získal také JetPac

Google se ve svých akvizicích zaměřuje na firmy, které pracují s umělou inteligencí a pokročilou analýzou dat...

Nejčtenější články

Zpomalí vám po 17 hodině O2 Air Fix? Nebojte se ozvat!

 

Někteří zákaznici O2, kteří využívají bezdrátový neomezený internet O2 Optimal Air Fix si začali po skončení lhůty...

Jak zareaguje O2 na nové tarify od T-Mobile a Vodafone?

 

Dočkali jsme se nových neomezených tarifů od T-Mobile a od Vodafone, teď je na řadě operátor O2.

Naměřené rychlosti internetu na DSL.cz v březnu 2017

 

Rychlost mobilního LTE internetu byla v březnu nejvyšší opět u operátora Vodafone. V síti 3G je stále nejrychlejší...