Úvod > Články > Nebezpečný Total Commander?

Nebezpečný Total Commander?

Total Commander patří k nejpopulárnějším FTP klientům, i když dnes existují spolehlivé a podobně nabušené free náhrady. V poslední době se však objevily hacknuté stránky, k nimž získali hackeři přístup právě díky možnosti ukládání hesel v TC.

Když mi vloni kdosi psal, že moje stránky vykazují virus, docela jsem se divil. Ale skutečně, když jsem otevřel indexový soubor, objevil se v HTML kódu vložený java skript, který sem nejen nepatřil, ale vykazoval všechny znaky viru. Celý java skript jsem smazal a stránky šlapaly. Měsíc. Než se v indexovém souboru opět objevil java skript...

Podobných útoků, jak se mi podařilo zjistit u různých hostingových firem, je víc. A podařilo se nakonec i zjistit, jak se vetřelci mohou k FTP účtům dostat. Vše samozřejmě provedou roboti, kteří během několika sekund dokáží vložit java skript do několika desítek stránek, než je lidsky zvládnutelné. Někdy dokáží jednomu klientovi napadnout i více webů (na různých serverech) současně.

Problém tkví v možnosti Total Commanderu ukládat hesla. Ta se ukládají do souboru wcx_ftp.ini, který najdete ve složce Windows. Najdete zde nejen adresy serverů a login, ale i hesla. Ano, v zakódovaném tvaru např. 2XC546DRT23 (teď si krutě vymýšlím :-)), ale podívejte se třeba na tyto stránky.

Najdete zde jednoduchý prográmek FTP passwords‘ decrypting tool 1.2 – nijak překvapivě ruské výroby -, který dokáže ona výše zmíněná nesmyslná čísla jednoduše dekódovat. Podobně existuje prográmek ShowPass. Hackeři mají tedy hned dvě možnosti – tyto dva prográmky samy o sobě mohou odesílat informace (někteří uživatelé na internetu v diskuzních fórech pátrají, proč jejich TC vykazuje komunikaci s internetem, i když oni zrovna nic nepřenášejí), případně se stačí dostat k onomu systémovému souboru ve Windows, kde jsou hesla uložena a jednoduchým algoritmem si je dekódovat.

Takto se pak dá dostat ke všem FTP stránkám, která máte v TC uložena (a čistě teoreticky nemusí jít jen o Total Commander, ale jakýkoliv FTP klient, jenž ukládá hesla) a zde změnit všechny index.htm a index.html stránky. Ale robot dokáže napadnout i jakékoliv jiné HTML stránky...

Zatím se mi nepodařilo najít, ani na www.viry.cz, ani na secunia.com, informaci, o jaký přesně virus jde (možná Trojan.Renver nebo Backdoor.Trodal), a tím pádem ani návod na odstranění. A protože nikdo učený z nebe nespadl, budu rád za rozumné připomínky níže v komentářích.

Jediné dva způsoby obrany, vlastně tři, jsou tedy vlastně zástupné. Prvním je změna hesel u všech napadnutých FTP účtů (poté, co jste napadené soubory upravili a nebezpečný java skript smazali). A samozřejmě nutnost tato nová hesla v Total Commanderu neukládat. Pak je také možnost uložit si hesla k FTP účtům do obyčejného texťáku a ten někam na neobvyklé místo na disku, a pak celý soubor wcx_ftp.ini smazat.

A konečně třetím způsobem je změna atributů jednotlivých HTML souborů na FTP tak, že zrušíte možnost modifikace a zápisu. Povolíte je následně jen ve chvíli modifikace a zápisu z vaší strany a hned opět upravíte atribut zpět. Tato metoda zatím funguje. Snad ji nějaký robot opět neprolomí.

Jak jsem napsal, budu rád za věcnou diskuzi k tomuto problému, protože jsem skutečně na internetu o problému nic moc nenašel a hostingové společnosti podobné útoky hlásí stále častěji.

26. 3. 2008

Autor: Jan Lipšanský

Sdílejte

Přečtěte si také

 

Mapy.cz představují novinku

Seznam.cz přišel s novinkou pro turisty. Společnost přidala novou funkci do portálu Mapy.cz. Jedná se o možnost...

 

Windows 9: nač ten spěch?

Stále více hlasů ze zasvěcených kruhů mluví o tom, že Microsoft hodlá v srpnu představit svůj nejnovější operační...

 

Google nakupuje analytické nástroje: po Emu získal také JetPac

Google se ve svých akvizicích zaměřuje na firmy, které pracují s umělou inteligencí a pokročilou analýzou dat...

Nejčtenější články

Rusko udělilo Googlu pokutu, na zaplacení by mu nestačily ani všechny peníze světa

 

Ruský soud uložil společnosti Google pokutu dva a půl sextilionů rublů – dvojka následovaná 36 nulami – za omezování...

Vánoce u T-Mobile: Sluchátka a telefon za 1 Kč i data za půlku

 

T-Mobile si letos pro své zákazníky přichystal celou řadu vánočních dárků. Od tradičních telefonů a sluchátek za 1...

Nova ukončila spolupráci s Vodafonem a T-Mobilem, stahuje Voyo z TV balíčků

 

Skupina Nova se rozhodla, že omezí spolupráci s operátory Vodafone a T-Mobile. Platforma Voyo už od února nebude...