Tvorba webů, redesign webů, editace, úpravy webů na Wordpressu …

Total Commander s nezabezpečenými hesly k FTP

Total Commander patří beze sporu k jedněm z nejoblíbenějších souborových manažerů.  Bohužel v sobě obsahuje bezpečnostní riziko, jehož zneužití se v poslední době velmi rozmohlo. Jedná se o „hacknutí“ webových stránek přes FTP.

Pár mých stránek bylo takto také napadeno. Ačkoliv to byly stránky, kam já sám jsem již několik měsíců nevkročil, tak několik majitelů těchto stránek se zoufale dovolávalo pomoci. Stránky byly zavirované, dostaly se také na index Googlu jako potencionálně nebezpečné a byly tedy vyhledávači blokovány. Co se tedy stalo?
Majitely stránek byl použit nezabezpečený Total Commander.

Nezabezpečená hesla

Základním problémem je práce s hesly k FTP připojení v Total Commander. Ten v sobě obsahuje integrovaného FTP klienta, který vám umožňuje jednoduše nahrávat soubory na FTP server a také ukládat jednotlivá FTP připojení. A právě zde je ten problém – při ukládání připojení totiž Total Commander ukládá hesla defakto v plaintextu, jen je pseudozakóduje jednoduchou transkripcí.

Pro útočníka je pak velmi lehké hesla z Total Commanderu odhalit. Stačí mu proto podstrčit na počítač oběti trojského koně, který získá soubor s hesly a pak má již cestu na váš server volnou.

Jak se bránit

Základní rada je jednoduchá – nikdy si neukládejte hesla k FTP serverům ve verzi Total Commandera, která nepodporuje zašifrování hesla (verze 7.04a a starší).

Použijte Total Commander s AES šifrováním – ke stažení zde.

Pokud chcete hesla ukládat – co si budeme povídat, je to o hodně jednodušší než si je pamatovat – a zároveň používat Total Commander, pak si nainstalujte minimálně beta verzi 7.50 beta 1 a vyšší. Tato nová verze totiž umožňuje zašifrovat všechna hesla pomocí AES šifrování pod jedním master heslem. Viz náhled – položka šifrování.

Nebo použijte samostatného FTP klienta. Použijte jiného souborového managera.

Je však pravdou, že tento prográmek je snad nejpovedenější a pracuje se s ním skvěle.

Co dělat když už je pozdě

Že je zneužití této bezpečnostní díry v Total Commanderu v poslední době časté, dokazuje i vyjádření poskytovatelů webhostingu „Opravdu se nám v poslední době množí napadení stránek zákazníků. Doporučujeme všem aktualizovat operačním systém Windows, internetový prohlížeč, a také neukládat hesla k ftp přímo do programu Total Commander. Těmito kroky předejdete napadení a možná ztrátě dat na vašem webovém prostoru.“

Co tedy dělat pokud máte zavirované stránky

1. odvirovat si počítač, ze kterého se připojujete na FTP

2. změnit hesla k FTP účtům

3. neukládat hesla do starších verzí Total Commanderu

4. najít zavirované soubory na vašem webovém prostoru a opravit je

K poslednímu bodu dodejme, že typicky jsou napadány soubory index.php, do kterých je přidán iframe se skrytým odkazem, ve kterém najdete řetězce jako „?click=6D1A6B“, „style=“visibility:hidden;position:absolute““ či „?income33“.

Takže: nikdy neukládejte svá hesla v nezakódované podobě.

Poznámka na závěr. Asi jsem už paranoidní, ale mám na USB klíčence diskový oddíl chráněný 128 bitovým šifrováním, v něm je teprve portal USB verze programu Total Commander, kdy hesla k FTP jsou šifrována AES.

Toto platí to nejen pro připojení k FTP, ale obecně pro všechna hesla. Pokud totiž máte na svém počítači uložená hesla v kontextu k přihlášení, pro které jsou používána, vystavujete se zbytečnému riziku jejich zneužití. A je zcela jedno, jak silná a „neprůstřelná“ hesla si v takovémto případě vytvoříte.

Co nového?

Nový web Autodoprava - stránky firmy Jana Holešová, autodoprava (responzivní design, WordPress)


Projekt Web-Region.cz
- Krnovsko-info
- Opavsko-info
Aktualizace webů, postupné přidávání dalších funkcí již za běhu webů
(The NeverEnding Story)


Affiliate web se zájezdy
www.dovolena.web-region.cz


Další aktualizovaný web MAMUT GLUE.cz - přepracování starého webu do nového responzivního s propojením na sociální sítě a diskuzní fóra s novým obsahem - více než produktová mikrosite,- SK verze bude následovat


Nově aktualizovaný web Služby obce Město Albrechtice


Hodně času nyní věnuji také e-shopu Praktis.cz


Web SannProfi.cz


Další a další úpravy webu DenBraven.cz a sk - nový ceník, nové produkty, aktualizace dokumentace atd.


Dokončení stránek T&Z truhlářství TaZnabytek.cz


Dokončení stránek MUDr. Skřontové
www.skrontova.cz


Upgrade mého webu
www.homola.biz


Dokončení stránek Distyk.eu
Stavební chemie značky Distyk pro trh v Rakousku.


Upgrade webu
www.fotografie-marekhlavac.cz


Další ukázky webů