Total Commander s nezabezpečenými hesly k FTP
Total Commander patří beze sporu k jedněm z nejoblíbenějších souborových manažerů. Bohužel v sobě obsahuje bezpečnostní riziko, jehož zneužití se v poslední době velmi rozmohlo. Jedná se o “hacknutí” webových stránek přes FTP.
Pár mých stránek bylo takto také napadeno. Ačkoliv to byly stránky, kam já sám jsem již několik měsíců nevkročil, tak několik majitelů těchto stránek se zoufale dovolávalo pomoci. Stránky byly zavirované, dostaly se také na index Googlu jako potencionálně nebezpečné a byly tedy vyhledávači blokovány. Co se tedy stalo?
Majitely stránek byl použit nezabezpečený Total Commander.
Nezabezpečená hesla
Základním problémem je práce s hesly k FTP připojení v Total Commander. Ten v sobě obsahuje integrovaného FTP klienta, který vám umožňuje jednoduše nahrávat soubory na FTP server a také ukládat jednotlivá FTP připojení. A právě zde je ten problém – při ukládání připojení totiž Total Commander ukládá hesla defakto v plaintextu, jen je pseudozakóduje jednoduchou transkripcí.
Pro útočníka je pak velmi lehké hesla z Total Commanderu odhalit. Stačí mu proto podstrčit na počítač oběti trojského koně, který získá soubor s hesly a pak má již cestu na váš server volnou.
Jak se bránit
Základní rada je jednoduchá – nikdy si neukládejte hesla k FTP serverům ve verzi Total Commandera, která nepodporuje zašifrování hesla (verze 7.04a a starší).
Použijte Total Commander s AES šifrováním – ke stažení zde.
Pokud chcete hesla ukládat – co si budeme povídat, je to o hodně jednodušší než si je pamatovat – a zároveň používat Total Commander, pak si nainstalujte minimálně beta verzi 7.50 beta 1 a vyšší. Tato nová verze totiž umožňuje zašifrovat všechna hesla pomocí AES šifrování pod jedním master heslem. Viz náhled – položka šifrování.
Nebo použijte samostatného FTP klienta. Použijte jiného souborového managera.
Je však pravdou, že tento prográmek je snad nejpovedenější a pracuje se s ním skvěle.
Co dělat když už je pozdě
Že je zneužití této bezpečnostní díry v Total Commanderu v poslední době časté, dokazuje i vyjádření poskytovatelů webhostingu “Opravdu se nám v poslední době množí napadení stránek zákazníků. Doporučujeme všem aktualizovat operačním systém Windows, internetový prohlížeč, a také neukládat hesla k ftp přímo do programu Total Commander. Těmito kroky předejdete napadení a možná ztrátě dat na vašem webovém prostoru.”
Co tedy dělat pokud máte zavirované stránky
1. odvirovat si počítač, ze kterého se připojujete na FTP
2. změnit hesla k FTP účtům
3. neukládat hesla do starších verzí Total Commanderu
4. najít zavirované soubory na vašem webovém prostoru a opravit je
K poslednímu bodu dodejme, že typicky jsou napadány soubory index.php, do kterých je přidán iframe se skrytým odkazem, ve kterém najdete řetězce jako “?click=6D1A6B”, “style=”visibility:hidden;position:absolute”” či “?income33”.
Takže: nikdy neukládejte svá hesla v nezakódované podobě.
Poznámka na závěr. Asi jsem už paranoidní, ale mám na USB klíčence diskový oddíl chráněný 128 bitovým šifrováním, v něm je teprve portal USB verze programu Total Commander, kdy hesla k FTP jsou šifrována AES.
Toto platí to nejen pro připojení k FTP, ale obecně pro všechna hesla. Pokud totiž máte na svém počítači uložená hesla v kontextu k přihlášení, pro které jsou používána, vystavujete se zbytečnému riziku jejich zneužití. A je zcela jedno, jak silná a “neprůstřelná” hesla si v takovémto případě vytvoříte.