Hlavní navigace

...a Total Commander používáte?

21. 4. 2009 15:09 | Svatopluk Vít

V posledních dvou týdnech se na uživatelském fóru redakčního systému Joomla! (a nejenom tam, Drupal fórum je na tom podobně) objevuje stále více uživatelů, kteří hledají pomoc po hacknutí. Přišlo mi divné, že je toho tak moc a skrz mnohé CMS.

Když jsem začal nářky uživatelů pročítat, začal jsem si pomalu skládat i mozaiku skutečností, které mají jednotlivé případy společnou. Objevil se však jeden společný jmenovatel. U všech napadených.  K mému velkému překvapení je to Total Commander.  Je to jen další příspěvek k tomu, že když má nějaká aplikace skoro monopol (nelze hovořit přímo o monopolu – nikdo vás k používání nenutí, spíše to můžeme popsat jako masové využívání v drtivé většině případů).

Jak to celé funguje? Musíte mít Microsoft Windows. Také musíte používat populární Total Commander. Dále musíte mít hostingový server s FTP přístupem. Údaje o připojení si musíte uložit do úložiště, které používá integrovaný FTP klient Total Commanderu. Navíc ještě musíte brouzdat Internet Explorerem a přijít na nakaženou stránku.

Z nakažené stránky se k vám skrz IE dostane trojský kůň. Ten sedí ve vašem počítači. Ve chvíli, kdy spustíte Total Commander a připojíte se na nějaký FTP server, trojský kůň atakuje všechny soubory index.html či index.php, které najde. Hesla získá z uložených dat v TC. Zapíše do nich JavaScript a stránky se stávají nakaženými a virus se může šířit dál…

Tato chyba se v tuto chvíli týká všech stabilních verzí TC, opravena je až v poslední beta verzi TC označené 7.5 beta 1. Více méně jde o to, že autor přidal možnost šifrovat soubor wcx_ftp.ini pomocí Master hesla a není tak proto pro trojana lehké se k souboru dostat (tento soubor obsahuje uložená hesla). Univerzální rada zní – neukládejte si hesla k FTP účtům do TC. Ale kdo to nedělá? Přirozenější volba je – používejte FTP klienta a ne toho z TC. Nabízí se spousta jiných jako je např. FileZilla, FTP klient ve FreeCommanderu nebo muCommanderu či další jiné,  hodí se i FireFTP, což je doplněk pro Mozilla Firefox.

Mně na tom celém docela fascinuje to, o jakou shodu okolností musí jít :

– Windows

– IE bez patřičných záplat

– Total Commander s uloženými FTP hesly

– nakažená stránka

– neaktualizovaný antivirus

Je to 5 podmínek a přesto si můžete přečíst zoufalé nářky postižených uživatelů. Nejhorší na tom je to, že nejdříve přijdou na fóra redakčních systémů, protože mají podezření na to, že za to může právě jejich CMS. Když z nich vytáhnete podrobnosti tak vás až skoro mrazí, jak těch 5 vyjmenovaných skutečností zapadá do sebe. Že nejde jen o jev v rámci naší Joomla komunity zjistíte hledáním na Googlu, najdete i zápisek z Drupalího světa, případně sekci častých dotazů na jednom webhostingu. Tady je i více než rok starý článek.

Závěr z toho je jednoduchý – až si vám někdo bude stěžovat, že má hacklé stránky, vypusťte kontrolní otázku z nadpisu. Kladná odpověď znamená, že jste doma. Problém totiž může být i to, že pokud máte třeba 20 autorů z nichž 19 používá Linux ajen jeden MS Windowsa v nich TC, můžete mít problém. Musíte jít opravdu po každém počítači, který se na vaše stránky připojuje pomocí FTP klienta z TC.

Vzhledem k tomu, že tato chyba je opravdu stará (popsána byla už v roce 2007) a problémy se ve velkém objevují až teď, je jasné, že „záškodníci“ měli čas se připravit.