Gevaar in FTP-programma’s

Door Erik-Jan op 14 juni 2007

Trefwoorden: .

beveiliging Gevaar in FTP programmasAan het begin van deze week heb ik een aantal backups van sites van klanten moeten terug zetten. De reden was dat twee servers van een grote klant van me gehacked waren. Veel sites hadden een nieuwe index-file en menige webshop leek nu opeens Viagra en porno te verkopen. Op zo’n moment is er één prioriteit: alle sites weer zo snel mogelijk terug zetten.

Mogelijke oorzaken

Een tweede prioriteit voor dezelfde nacht is uitzoeken hoe het toch heeft kunnen gebeuren. In totaal heb ik een drietal mogelijke oorzaken gehoord, maar de laatste heeft de juiste papieren. Via een spyware-programma op de PC van mijn klant, is de hacker achter de diverse wachtwoorden gekomen. In eerste instantie werd gedacht aan een programma wat de toetsaanslagen van mijn klant registreerde. Het vreemde was echter dat ook sites die al zeker twee jaar niet meer via de FTP bezocht waren, óók onderuit waren gegaan. Het is niet waarschijnlijk dat een hacker een proggy twee jaar op je PC laat staan om pas daarna toe te slaan.

Een lek in CuteFTP

Nu wil het geval dat mijn klant net als ik CuteFTP gebruikt als FTP-programma. CuteFTP slaat haar wachtwoorden op in een file genaamd sm.dat. Deze file openen in Kladblok heeft uiteraard geen zin, maar al een jaar of wat is bekend dat je via een eenvoudig Visual Basic programmaatje de encoding van de wachtwoord kan disablen. Destijds werd dit gebracht als een handige tool voor mensen die een slecht geheugen hebben, maar het kan ook ten kwade gebruikt worden (ik kwam al snel een voorbeeldje van een vervelende Trojan tegen). Voor UltraEdit schijnt dit ook te kunnen en ik vermoed dat andere FTP-programma’s er ook last van zullen hebben.

De tip

Inmiddels heb ik een wachtwoord op de site manager van CuteFTP gezet. Op die manier wordt de belangrijke file sm.dat volkomen encrypted. De kans dat je wachtwoorden verkregen worden is niet al te groot. Maar áls het gebeurt, hebben ze gelijk ál je wachtwoorden te pakken. En als je zegt dat dat niet zo erg is, zal ik mijn klant eens op je afsturen :)


Je kunt een reactie, achterlaten of een trackback van uw eigen site.

2 Reacties op “Gevaar in FTP-programma’s”

  1. 15 juni 2007 om 08:50
    killerog

    Ik prefereer in het algemeen om helemaal geen wachtwoorden op te slaan, aangezien de meeste programma’s toch of plain text opslaan (net als vele sites helaas :(), of geen geweldige encryptie aanbieden.
    De enige uitzondering bij mij is firefox omdat ik gewoon te veel verschillende wachtwoorden heb op websites om ze allemaal te onthouden.

    Reageer
  2. 15 juni 2007 om 13:32
    rembrandt

    Als (alleen) verschillende index-pagina’s op een zelfde server zijn aangepast is het (bijna altijd) het gevolg van een (php-) exploit.

    Dat hackers ergens op een computer van iemand de usernames en wachtwoorden heeft kunnen achterhalen is wellicht mogelijk, maar dan zouden ze veel meer schade (hebben) kunnen toebrengen: als je de sleutel van de voordeur hebt, waarom zou je dan in de gang blijven staan, als de rest van huis ook bereikbaar is.

    Indien het inderdaad via FTP gegaan is, moet dat terug te vinden zijn in de ftplog van de server(s). Daarin wordt opgeslagen wanneer welke FTPuser vanaf welk IPadres toegang heeft gehad tot een virtual host. Is daarin niets van terug te vinden, dan is het bijna zeker een exploit geweest, daar heb je geen usernames of wachtwoorden voor nodig.

    Reageer

Reageer!