Total Commander patří beze sporu k jedněm z nejoblíbenějších souborových manažerů. Bohužel v sobě obsahuje bezpečnostní riziko, jehož zneužití se v poslední době velmi rozmohlo. Jedná se o “hacknutí” webových stránek přes FTP, PHP Fusion nevyjímaje.
Nezabezpečená hesla
Základním problémem je práce s hesly k FTP připojení v Total Commander. Ten v sobě obsahuje integrovaného FTP klienta, který vám umožňuje jednoduše nahrávat soubory na FTP server a také ukládat jednotlivá FTP připojení. A právě zde je zakopán pes - při ukládání připojení totiž Total Commander ukládá hesla defakto v plaintextu, jen je pseudozakóduje jednoduchou transkripcí.
Pro útočníka je pak velmi lehké hesla z Total Commanderu odhalit. Stačí mu proto podstrčit na počítač oběti trojského koně, který získá soubor s hesly a pak má již cestu na váš server volnou.
Jak se bránit
Základní rada je jednoduchá - nikdy si neukládejte hesla k FTP serverům ve verzi Total Commandera, která nepodporuje zašifrování hesla (verze 7.04a a starší).
Použijte Total Commander s AES šifrováním
Pokud chcete hesla ukládat - co si budeme povídat, je to o hodně jednodušší než si je pamatovat - a zároveň používat Total Commander, pak si nainstalujte aktuální beta verzi 7.50 beta 1. Tato nová verze totiž umožňuje zašifrovat všechna hesla pomocí AES šifrování pod jedním master heslem.
Použijte samostatného FTP klienta
Pro práci s FTP můžete také použít jiného klienta, který podporuje zabezpečené připojení a bezpečné ukládání hesel. Můžeme doporučit například programy WinSCP nebo FileZilla.
Použijte jiného souborového managera
Total Commander není jediný, existuje více souborových managerů, které třeba nejsou tolik rozšířené, ale ve svých stabilních verzích již dávno nabízejí bezpečné připojení k FTP serverům. Za všechny jmenujme například FreeCommander.
Co dělat když už je pozdě
Že je zneužití této bezpečnostní díry v Total Commanderu v poslední době časté, dokazuje i vyjádření poskytovatele webhostingu Stable.cz: “Opravdu se nám v poslední době množí napadení stránek zákazníků. Doporučujeme všem aktualizovat operačním systém Windows, internetový prohlížeč, a také neukládat hesla k ftp přímo do programu Total Commander. Těmito kroky předejdete napadení a možná ztrátě dat na vašem webovém prostoru.”
Co tedy dělat pokud máte zavirované stránky
- odvirovat si počítač, ze kterého se připojujete na FTP
- změnit hesla k FTP účtům
- neukládat hesla do starších verzí Total Comanderu
- najít zavirované soubory na vašem webovém prostoru a opravit je
K poslednímu bodu dodejme, že typicky jsou napadány soubory index.php, do kterých je přidán iframe se skrytým odkazem, ve kterém najdete řetězce jako “?click=6D1A6B”, “style=”visibility:hidden;position:absolute”" či “?income33″.
Doporučení
Na závěr si zopakujme to, co tu již jednou bylo rečeno, ale jak se zdá, u tohoto není opakování nikdy dost. Takže: nikdy neukládejte svá hesla v nezakódované podobě.
Platí to nejen pro připojení k FTP, ale obecně pro všechna hesla. Pokud totiž máte na svém počítači uložená hesla v kontextu k přihlášení, pro které jsou používána, vystavujete se zbytečnému riziku jejich zneužití. A je zcela jedno, jak silná a “neprůstřelná” hesla si v takovémto připadě vytvoříte.
