Přeskočit přímo na text


Proboha, přestaňte používat uložená hesla v Total Commanderu

  • GeSHi library error: modules/geshifilter/geshi is not a directory.
  • GeSHi library error: modules/geshifilter/geshi is not a directory.
  • GeSHi library error: modules/geshifilter/geshi is not a directory.
  • GeSHi library error: modules/geshifilter/geshi is not a directory.

Dnes řeším teprve druhý hack webu provedený přes uložená hesla v Total Commanderu. Copak toho nebude nikdy dost? Nejlepší je, že většina lidí nejdříve obviňuje svůj CMS.

První případ se ozval přes e-mail, že prý hacked. Zatím jsme nedošli k výsledku, ale symptomy vedou na typický Total Commander.

Druhý případ na jednom dedikovaném serveru od nejmenované společnosti. Byl jsem nucen restartovat apache a jelikož má cache souborů, změny se neprojeví, dokud to neudělám. Hned po restartu – parse error v index.php. Divím se a pohledem nacházím krásný javascript vložený přímo na konec. Naštěstí s parse error :-) Zarazil jsem to tedy dříve než se něco mohlo stát návštěvníkům webu.

Kontaktoval jsem majitele a říkám rovnou: Máte Total Commander? Ano mám…A máte v něm uložená hesla? Ano mám…A jsme doma :-) Druhý pohled do logů FTP serveru ukázal nahrané soubory index.php do celého webu. Se standardním přihlášením pomocí jména a hesla. To fakt není chyba Drupalu.

Jak to funguje?

Prvním předpokladem je používání MS Windows a Total Commanderu. Někde chytíte virus (no tak, chyťte se za nos, každý koukáme na nahotinky). Ten vezme Váš soubor s hesly do TC, rozšifruje ho (dá se tomu pak říkat šifrování?) a na každý uložený FTP účet nahraje škodlivý javascript kód.

Jednoduché :-)

Jak se bránit?

Nejdříve – nepoužívejte Total Commander. Ten program je zlo. Pokud už musíte, neukládejte si v něm hesla. Co třeba WinSCP?

Doporučuji rovněž zvážit přechod na Linux. Předpokládám, že relativně bezpečnější Firefox místo IE už máte.

Jsem napaden, co teď?

Prvním krokem je odvirování Vašeho počítače. Že nic antivirus nenachází? Pořiďte si jiný. Co anti-spyware?

Druhým krokem je odstranění škodlivého kódu ze všech webů – virus vyhledává všechny index.* soubory ze všech uložených účtů.

Třetím krokem je změna hesel k FTP pro všechny Vaše účty.

Čtvrtým krokem je přechod na Drupal. Proč? Jen tak, s útokem to nesouvisí, ale je to lepší než Wordpress :-)

About the authornení
 

Doporučení

Hlavně dopoučuji důrazně nepoužívat dekodér hesel z Total commanderu, protože nekterý hesla nejen dekóduje, ale také odesílá na cizí server. A mimochodem – pokud spoléháte na na NOD32, zkuste radši Avira Antivir.

RE: Doporučení

Zřejmě pán nemá s antivirem od firmy ESET žádné zkušenosti. Domnívám se, že i laik pozná rozdíl mezi kvalitním antivirem, jako je ESET a nějaká Avira. Navíc jsou na internetu dostupné i výsledky testů!

Nepoužívejte TC a jděte na

Nepoužívejte TC a jděte na linux. To je hezkej vtip.

jj, a neukladejte hesla

jj, a neukladejte hesla zrovna tak. jsou to sice vrata jako krava ale proboha snad nemyslis vazne prejit na winscp? nepovazuju se za uplnou lamu, ale ja se nedokazal ani pripojit, natoz s tim efektivne pracovat. to je to same jako napsat neukladejte hesla ve ff a opere.

neni jednodussi proste nelezt na prasarny, warez apod? a ikdyz uz tak ve virtualboxu dejme tomu i s linuxem na takove to obcasne pokuseni a hotovo.

dirou nejsou programy ale uzivatele.

Ja vas k nicemu prece

Ja vas k nicemu prece nenutim. Ale WinSCP je suverenne nejlepsi v soucasne dobe. Klidne prejdete na FIlezillu nebo jiny FTP klient, je to jedno. Ja mluvim o nebezpecnosti TC.

A prechod na Linux? Proc ne? Nikdo Vas zase nenuti. Prestante prosim trollovat.

Fille Zilla - malware

Také mám tu zkušenost s TCommanderem. Bohužel stejnou skušenost jsem udělal i u Fille Zilla. Za poměrně bezpečný považuju CuteFp http://www.cuteftp.com/.

WinSCP je nejlepší klient co

WinSCP je nejlepší klient co znám. Když jsem to před pár měsíci zkoušel s Linuxem, marně jsem hledal nějakou alternativu, co by se mu vyrovnala…

Největší „úlet“ je funkce sledování adresáře (Ctrl-U), což je synchronizace lokálních souborů se serverem v reálném čase…

Kromě toho myslím nemá TC ani synchronizované procházení (Ctrl-Alt-B), kdy procházíte v obou panelech adresářovou strukturou synchronně. Nebo možnost kdykoliv se přepnout do terminálu putty.

Jediná výhoda TC oproti WinSCP je ta, že je to primárně File Manager, takže je více univerzální. Dřív jsem používal spíš TC, WinSCP jen výjimečně na SFTP a SCP přístup, ale postupně jsem začal čím dál víc oceňovat silné stránky WinSCP. Teď už bych se k TC nevrátil ani náhodou.

Ale proti gustu žádný dišputát :-) Každý má právo na „svého nejlepšího“ FTP klienta. Ale v případě nutkání skladovt hesla v TC raději použijte Keepass Password Safe, obzvlášť pokud tam nemáte účty jen ke svým webům. A nebo si zkuste zvyknout na WinSCP ;-)

UPDATE: Jak jsem zjistil, WinSCP je na tom s „ochranou“ hesel k účtům pravděpodobně stejně jako TC, viz můj příspěvek níže…

Ten program je zlo.....MAGOR

Nejdříve – nepoužívejte Total Commander. Ten program je zlo

to snad ani nemá cenu komentovat, ten člověk je duševně postižený

:-)))))

tak co jinej FTP klient? :-))

jj toto může jen tak z fleku

jj toto může jen tak z fleku napsat fakt jednostraně orientovaný n00b… jako by nebyla žádná alternativa…

TAKY SEM SE ZASMAL :D

TAKY SEM SE ZASMAL :D

Rozumím tomu tak, že WinSCP

Rozumím tomu tak, že WinSCP má lépe zabezpečená hesla a lze je mít v něm uložená? Mne se zdá jinak WinSCP poměrně (práce s ním i přihlášení) velmi podobné TC takže bych je někde uložené mít chtěl.

test

test

Hmmm

Asi budu ten první případ :-)

Ano, používám TC a Win a mám v něm uložená hesla. Ale proč potom tadle svině napadá jen hosting s Drupalem a ne další projekty? Tam se tento trojan nikdy nedostal.

A jak ho vlastně může napadat skrz FTP, když mám na PC antivir – avast, ten na rozdíl od jiných – např. AVG tento trojan nikdy nenajde – spolehlivě detekuje, používám firewall a spybota…

Nebo si někde na zastrčeném serveru ukládá hesla a opakovaně napadá servery ze své databáze? Ale pak by taky napadl všechny ostatní, ke kterým mám hesla v TC uložená a ne jen ten jeden, kde je Drupal. Náhoda?

Ale to že to napadá “jen”

Ale to že to napadá „jen“ Drupal to tu přece nikdo netvrdí… napadá to soubory index.php … a řekl bych že i klidně index.html a index.aspx … Jistota je mít hesla uložená jinde … na windows např. v Keepass Password Safe. Jen tak pro zajímavost jsem koukal jak zabezpečená hesla jsou ve WinSCP … a je na tom asi stejně jako TC, jen se na něj zatím útočníci nezaměřili…

Dokumentace WinSCP (http://winscp.net/…ocs/security#…)

„Saved passwords are stored in a manner that they can easily be recovered. It is not possible to securely encrypt passwords in a way that still allows for automatic use. Do not use the save password feature if you are not absolutely sure of the physical and electronic security of the system on which you are storing passwords.“

Zda sa, ze si kupim malu

Zda sa, ze si kupim malu nastenku a pripnem tam papierik na ktory si budem pisat hesla:-)) A k tomu Avastu …Pri prechode z Avastu na uz zmieneny NOD32 mi nasiel NOD zhruba 350 infikovanych suborov. A tak podla mna antivir treba, ale netreba sa na neho spoliehat.

http://keepass.info apt-g

seahorse

Jaka je vyhoda revalation oproti seahorse? Pouzivam klasickou klicenku v gnome.

keylogger

nejsem si jistej ze nastenka s heslama je zrovna to spravne reseni :D

Re:Ale to že to napadá “jen”

Asi Vám uniklo, kam mířím, kdyby se to skutečně šířilo díky heslům uloženým v TC, tak proč to nenapadá všechny projekty, jen ten jeden? A zrovna ten, kde je Drupal. Jste si opravdu jistí, že to je díky heslům uloženým v TC? Proč pak nenapadá veškeré index.* soubory i na dalších projektech?

Samozrejme si nejsme jisti.

Samozrejme si nejsme jisti. Jsou to vase weby, vas pocitac. My vam tam nevidime. Uprimne receno – je to hloupa otazka…

Tak Vám děkujeme za

Tak Vám děkujeme za „nehloupou“ odpověď

Pokial ma ten pristup na FTP

Pokial ma ten pristup na FTP niekto druhy moze to byt jeho problem.

ano, s timto jsem se

ano, s timto jsem se nekolikrat take setkal – sam jedu pres ftps , ale nekdo z lidi kteri si pak na web nahravaji fotky do galerii zabezpeceny pristup proste nepouzivaji a tam je pak problem. nastesti je v drupalu jen 1 index.

Total Commander je zlo :-) Aha.

Tak za a) Tohle neni chyba TC ale uzivatelu b) lepsi spravce souboru neznam c) viz. doporuceni prejdete na linux kde nebudete mit viry. No jsem zvedavej (az/jestli) bude mit linux napr. 50% misto stavajich 1% jestli bude stale bez viru :-D

Viry pro Linux uz existuji.

Viry pro Linux uz existuji. Ale v podstate se nesiri. Protoze filosofie toho systemu je uplne jina.

Cizí skript ve všech .php souborech

Moc díky za upozornění, teď jsem to s někým taky řešila, takže mi to dost pomohlo… Velmi podobné, TC a parse error na webu. S tím rozdílem, že skript byl vložený nejen v index.php, ale ve všech .php souborech v kořenovém adresáři s instalací.
Btw., asi přidám nějakou „poučku“ o těch heslech do smlouvy pro klienty. Ten člověk totiž při zadávání nového připojení v TC vyplnil heslo a netušil, že se to i s tím heslem uloží. To je podle mě jedna z nevýhod TC; ve WinSCP je k uložení hesla třeba jeden krok navíc (zaškrtnutí políčka), což už asi každého trkne.

Já třeba, pokud to klient

Já třeba, pokud to klient přímo nevyžaduje, mu to heslo nedávám. Dostane jen přístup do drupalu a šmitec. A na fotky stačí udělat zvláštní ftp účet, který vede jen do toho adresáře (umí to třeba Savana).

Stejně to dělám i já. Heslo

Stejně to dělám i já. Heslo jen když zákazník „prudí“ :-) A FTP jen pro určitý adresářumí i zde zatracovaný TCM

Píšou jinde...

Aneb sám největší enfant terrible českého inernetu varuje před TC … http://myego.cz/…al-commander

Jestli by spis nemel varovat

Jestli by spis nemel varovat pred Windows ;-)

Nevíte proč se nepoužívá SCP a certifikát?

Nevíte proč se nepoužívá scp s certifikátem? Myslím že by to bylo bezpečnější.

Protoze je jen na Vas

Protoze je jen na Vas vygenerovat si SSH klic a dat si ho tam a pouzivat ho? Nic vam nebrani…99 % serveru to ma zapnute.

FTP vs. FTPs/sFTP/FTPes

No nechci Vam do toho moc kecat, ale zda se mi, ze hodne lidi aktulizuje stranky pouze pres klasicky nesivrovany FTP protokol, a je uz jedno jestli z TC, nebo a jineho FTP klienta, a to je podle mne ten nejvetsi kamen urazu. Nekdy se staci jedinkrat pripojit klasickym FTP a za chvilku je tam nekde IFRAME nekam do ciny a nebo nekde nakonci divoky JS.

Takze bych hlavne doporucoval pouzivat pouze FTP prenosy po SSL/TLS, (ftps, sftp, ftpes) a az v druhe rade neukladat hesla.

PS: doufam ze tu nekdo napise, ze kdyz do toho nechci kecat tak at nekecam ;)

Ale kecej, myslim si vsak, ze

Ale kecej, myslim si vsak, ze nemas pravdu. Nemyslim, ze az takova vetsina ceskych ISP ma nekde nejake sniffery. Je to spis temi ulozenymi hesly

To je vec nazoru, ale podle

To je vec nazoru, ale podle toho co jsem videl ja, mi to spis pripadalo, ze odchyt hesel byl spis nekde venku a pouze na nesifrovanem FTP.

Samozrejmne nemam stoprocentni jistotu, ze zadne z PC co pristupovali pouzivali FTP nemeli v sobe nejake svinstvo, ale ve vsech pripadech jsem jen zmenil heslo a vsem zakazal (slovne;) pouzivat FTP bez SSL, a uz se nic takoveho neopakovalo a to se zadne odvirovavani ani odspywarovani se nekonalo. Takze to vypadlo, spis na odchyt hesla. Mimochodem zadny z uzivatelu nebyl bezny BFU.

Jak rikam, vec nazoru, mozna mas jine zkusenosti. Chapu, ze u bezneho BFU muze byt velky risk hesla ukladat.

Takze zaver by mohl byt spis nejak takhle: Pokud nekomu doporucit bezpecnost, tak uplnou. Takze pokud neukladat hesla z duvodu bezpecnosti, tak z tech samych duvodu i pouzivat FTP po SSL/TLS a pak bude vetsi jistota ze tajne heslo zustane tajnym. Mimochodem i TotalCommander uz umi FTP po SSL ;) .

Na obhajobu Drupalu: Vsechny napadene stranky byly psany rucne, bez zadneho RS, az na jeden pripad, kde byla Joomla. Takze Drupal urcite za nic nemuze ;)

Beta 6 TotalCommanderu 7.50

Používá master password na uložená FTP hesla. V souboru wcx_ftp – tak už nejsou hesla, ale jen zakódované řetězce. Zkušenost: Nijak zvlášť to neotravuje – před přihlášením na první FTP se zeptá na master password, a pamatuje si ho do zavření dané instance programu, tedy na připojení dalším FTP už ho nepotřebuji zadávat.

naprosto souhlasim a hned

naprosto souhlasim a hned jsem vsechny okolo instruoval ze ihned updatují(zkratka to dostali prikazem ze jim jinak zmenim hesla :)) . je to fakt v pohode, jedno rozumny heslo se da pamatovat a rychle naklapat, pro kazdy ftp nahodne generovane nikoliv. a mit spusteny keypass, porad mackat ctrl+tab ctrl+c a ctrl+v. jinak jste si urcite vsimli ze TC 7.5 uz je finalne venku. a super je taky ze jdou v pripojenich delat slozky, hodne to zprehledni kdyz mate vic pripojeni pro kazdy projekt

Navod

Tak zaprve, toto je uz opraveno, jak nekdo psal, staci pouzit master heslo. Zadruhe tvrdit ze TC je zlo je mimo. Mel diru, ktera se zneuzila, uz je to opravene, mate moznost pouzivat master heslo. TC je jinak celkem nenahraditelny. Viry jsou i na jine FTP manazery, celkem zabira nastavit u souboru prava na 444, viry to zatim neprekonaj. Zatreti, autor tu vsem nuti svuj FTP, prechod na linux a redakcni system. To vypovida to o urovni autora. Ze se virus chyti na porno serverech? To je tedy hezke, ja bych spise rekl ze je mnohem vice cest jak virus chytit a na porno koukat nemusite a predevsim nez porno bych videl jako vetsi riziko warez. Tahle recenze me rozcilila, cekal jsem alespon ze napisete jak se virus jmenuje a ktery antivirus ho dobre zna, coz zrovna ted hledam.

tak hlavne pouzivat

tak hlavne pouzivat prehistoricky FTP v roce 2013 je peklo. mimochodem je to 4 roky stary clanek :)

Nahotinky a warez

Vyssie tu bolo zmienene, ze k ukradnutiu hesiel staci pozerat nahotinky alebo ist na warez. Pokial pozerate nahotinky iba cez web browser, alebo chodite na warez bez installovania ich programov, ako mozete dostat vyrus?

Poslat nový komentář

  • You can use Texy! to format and alter entered content.
  • Povolené HTML značky: <em> <strong> <b> <i> <br> <code> <ul> <ol> <li> <pre> <pre class="php">
  • You can enable syntax highlighting of source code with the following tags: <code>, <blockcode>. Beside the tag style "<foo>" it is also possible to use "[foo]".

Více informací o možnostech formátování

Hledat

Přihlášení



Bezpečnost Drupalu

Z hlediska bezpečnosti je Drupal na velmi vysoké úrovni, díky propracovanému systému hlášení, prověřování a řešení možných problémů.

Čtěte více a odebírejte bezpečnostní aktuality

Poslední komentáře

Kdo je online

Momentálně je online 3 uživatelé a 1 host.

Support

Psychologie - poradenství