Да, кстати.
Попробую популярно объяснить, что это такое.
Юзер заходит браузером на страничку хакера.
У него в браузере выполняется JS скрипт.
Этот JS скрипт стучится на сервер хакера, на 21 порт.Скрипт шлет команды:
USER anonymous
PASS test@example.com
PORT 192,168,1,2,1,189
Роутер юзера видит (за счет nf_conntrack_ftp), что юзер говорит FTP серверу:
"Подключайся ко мне, на ip адрес 192.168.1.2 и на порт 445".
445 порт - это 1*256 + 189 (последние числа в команде PORT).
Роутер думает "Бедный юзер, FTP сервер не сможет до него достучаться. Ведь юзер за натом.".
И переделывает команду "PORT 192,168,1,2,1,189" в команду "PORT 8,8,8,8,201,128".
Где, 8.8.8.8 - это внешний ip адрес роутера (допустим).
А 201,128 - это значит порт 51584 (201*256 + 128).
А ещё добрый роутер делает временный проброс порта 51584 на адрес 192.168.1.2 и порт 445.
Сервер хакера (который слушает на 21 порту) получает команду "PORT 8,8,8,8,201,128".
И пытается ткнуться на ip адрес 8.8.8.8 и порт 51584.
Добрый роутер пробрасывает это соединение.
И сервер хакера без особых усилий достукивается до порта 445 юзера с ip адресом 192.168.1.2.
А дальше уже все зависит от умений и знаний хакера.
Можно не только на 445 порт подключаться, а на любой.
У винды "открытые веселые порты" есть с номерами больше 1024.
Как вы можете видеть, атака НЕ зависит от включения/выключения ftp протокола на компьютере клиента.
FTP клиентом выступает JS скрипт в браузере юзера.
Если у юзера роутер - это ваш сервер, то конечно можно принять меры.
Поставить frox, сделать правила iptables или ещё чего.
Или можно тупо вырубить nf_conntrack_ftp.
А что можно сделать, если у юзера роутер - железка, в которой до настройки фаерволла не добраться?
"не надо юзать дешевые железки" - не вариант.
Как вариант - все-таки включать брандмауэр виндовс.
Ну да, фигня)
А что делать?
