System wsparcia obsługi klienta Intertele S.A.

Od pewnego czasu szerzy się plaga złośliwego oprogramowania (wirusy, trojany) wykradającego hasła FTP z komputerów osobistych. Złapany przypadkowo wirus lub zainstalowany trojan wykrada hasło z komputera Windows, z którego logowano się do serwera FTP. Po sieci krążą również nieautoryzowane, zmodyfikowane wersje darmowego oprogramowania do FTP (np. Total Commander), które wykradają login i hasło. Istnieje również pewne ryzyko, że hasło FTP przesyłane w sposób nieszyfrowany może zostać przechwycone przez zainfekowany router użytkownika.
Następnie inny rodzaj oprogramowania, logując się wykradzionym, prawidłowym loginem i hasłem FTP z dowolnego miejsca na świecie podmienia stronę, doklejając do niej kod JavaScript, PHP lub HTML IFRAME, IMG. Zdarzają się też przypadki uszkodzenia kodu strony, zakłócającego jej poprawne działanie.

Zwykle w kodzie strony umieszczane są tzw. backdoory, które pozwalają hackerowi wykonywać dowolny program na serwerze, na każde jego żądanie. Modyfikacja strony często ma na celu również rozpowszechnianie linków do złośliwego oprogramowania, infekującego komputery kolejnych użytkowników sieci, którzy będą przeglądać zmodyfikowaną stronę za pomocą nieaktualizowanej lub niezabezpieczonej odpowiednio przeglądarki WWW.  Nie można również wykluczyć innych ataków, bardziej celowanych w interesy właściciela strony, np. przechwytujących dane klientów z bazy danych obsługującej stronę.

Z punktu widzenia dostawcy usługi hostingu, serwer nie jest w stanie rozróżnić, czy operacja zapisania pliku z użyciem poprawnego loginu i hasła FTP jest operacją osoby uprawnionej, czy też operacją przeprowadzaną przez przestępców. Loginy i hasła zabezpieczające dostęp do strony pozostają pod kontrolą klienta - administratora strony i na kliencie spoczywa obowiązek ochrony ich tajemnicy, dbania o ochronę antywirusową na swoich komputerach itp.

Ze względu na fakt, iż doklejany kod jest modyfikacją kodu źródłowego, to najlepiej przygotowany do wyczyszczenia kodu strony z obcego oprogramowania jest autor kodu źródłowego strony . Obecnie nie jest dostępne żadne narzędzie, które pozwoli automatycznie i skutecznie wyczyścić taki kod.

 

Kolejność postępowania w przypadku stwierdzenia wycieku hasła FTP powinna być następująca:

1. Skanowanie programem antywirusowym i ewentualnie czyszczenie wszystkich komputerów, z których miało miejsce logowanie do serwera FTP, oraz wszystkich komputerów w sieciach lokalnych, skąd się logowano.
2. Istnieje możliwość, że hasło zostało podsłuchane przez malware zainstalowany na routerze obsługującym połączenie internetowe. Należy sprawdzić poprawność ustawień routera (np. serwery DNS, dostęp do panelu administracyjnego - tylko z sieci wewnętrznej), zabezpieczenia. W przypadku stwierdzenia czegoś podejrzanego (lub np. niezabezpieczonego panelu administracyjnego) - należy zainstalować najnowsze oprogramowanie do routera, oferowane przez producenta, zgodnie z instrukcją.
3. Zmiana hasła do kont FTP w panelu admin.itl.pl
4. Pozbycie się złośliwego kodu. Można to zrealizować na jeden z kilku sposobów:
   • można odzyskać stronę z kopii zapasowej, jeśli się ją posiada
   • administrator może odzyskać stronę z kopii zapasowej, jednak taka operacja jest płatna
   • w przeciwnym wypadku - pozostaje usuwanie złośliwego kodu ze stron. Może on być umieszczony w każdym pliku. Najczęściej w plikach html, php, js, jednak należy dokładnie sprawdzić cały serwis.
5. Dodatkowo proponujemy użyć zabezpieczenia "ograniczenie dostępu" do konta FTP w panelu admin.itl.pl, można tam wpisać adres IP komputera, z którego (wyłącznie) będzie dozwolone logowanie do FTP.
6. Dodatkowo proponujemy użyć "Zabezpieczenie strony" w panelu admin.itl.pl
7. W przypadku znalezienia na komputerze jakiegokolwiek wirusa, proponujemy pozmieniać wszystkie inne hasła: zarówno do kont email, dostępu do panelu administracyjnego, jak i np. do kont bankowych, kont w portalach społecznościowych.
8. Zalecamy nie zapisywać haseł do konta FTP w programie FTP.
9. Zalecamy używać protokołu SCP lub FTP+TLS (wiele klientów FTP ma wsparcie dla tych protokołów, np. darmowa FileZilla), aby hasło FTP podczas logowania na serwer było przesyłane w sposób bezpieczny, szyfrowany.