Sicherheitsproblem im FTP-Client FileZilla
FileZilla ist ein kostenloser FTP-Client, der nicht nur aufgrund seines „Preises“ sehr erfolgreich ist, sondern auch aufgrund seines Funktionsumfangs bei den Nutzern sehr beliebt ist. Unter anderem kann man das Programm auf vielen verschiedenen Betriebssystemen nutzen. Nichtsdestotrotz häufen sich in den letzten Wochen die Probleme unter den FileZilla-Nutzern.
FileZilla – Bild vom FileZilla Project
Los geht es oft damit, dass man von seinem Hoster darauf hingewiesen wird, dass von der eigenen Webseite aus Schadsoftware verteilt wird. Manchmal zeigt auch Google eine Warnseite, wenn man von der Suchseite zur eigenen Seite weiterklickt.
Wenn auf der Webseite WordPress oder ein anderes CMS oder Blog installiert ist (was häufig vorkommt), vermutet man in der Regel zuerst eine Sicherheitslücke innerhalb dieser Software, also eine „gehackte“ Webseite. Wenn man sich jedoch die FTP-Logs des Servers anschaut, so zeigt sich sehr schnell die wahre Ursache: ein Fremder logt sich per FTP auf den Server ein und ergänzt die Webseiten um ein paar JavaScripte (und teilweise auch Weiterleitungen) die dafür sorgen, dass den Besuchern der eigenen Seiten Schadsoftware untergeschoben wird. Der Angreifer nutzt dabei keine Sicherheitslücke aus, sondern arbeitet per FTP wie ein ganz legitimer Nutzer. Doch wie kommen die Angreifer an die FTP-Daten?
Zugangsdaten unverschlüsselt auf der Festplatte
Bei der Untersuchung dieser Probleme fällt sehr schnell auf, dass viele der Webseitenbetreiber das kostenlose FileZilla einsetzen. Vom Funktionsumfang her steht es kommerziellen Produkten in nichts hinterher. Mit einer Ausnahme: die wenigsten FileZilla-Nutzer wissen, dass dieses Programm alle Zugangsdaten unverschlüsselt auf der Festplatte ablegt. Wenn man also im „Server-Manager“ FTP-Server hinterlegt, dann werden die Zugangsdaten ohne echte Sicherung lesbar auf der Festplatte abgelegt. Anscheinend nutzen aktuell besonders viele Schädlinge diese Sicherheitslücke aus um an die Zugangsdaten zu kommen. Der Support eines großen deutschen Hosters bestätigte uns auf Nachfrage, dass es momentan zu auffallend vielen Problemen im Zusammenhang mit der Benutzung von FileZilla kommt. Eine Suche in der Dokumentation von FileZilla ergab zwar einen Hinweis darauf, wo die Daten abgelegt werden, aber keine Warnung, dass dies unverschlüsselt geschieht.
Was tun wenn es passiert ist?
Sie sollten in dem Fall ohne weitere Verzögerung Ihre Zugangspasswörter zu den FTP-Servern ändern oder von Ihrem Hoster ändern lassen. Dann sollten alle Rechner, die per FTP Zugang zu Ihren Webseiten haben, auf Schädlinge untersucht werden. Die Wahrscheinlichkeit ist sehr hoch, dass auf mindestens einem Rechner ein Trojaner gefunden wird, der Ihre Passwörter ausliest. Sollten Sie einen Schädling finden, so sollten Sie Ihren Rechner komplett neu installieren und Ihre Daten von einer Datensicherung wiederherstellen. Eine Bereinigung birgt immer die Gefahr, dass Reste des Schädlings zurückbleiben. Bitte beachten Sie, dass der Schädling Ihr System irgendwie verseucht haben muss. Diese Lücke schließt auch eine Bereinigung nicht. Deswegen sollten Sie immer neu installieren und Ihr System mit Updates des Betriebssystemherstellers auf den aktuellen Stand bringen. Auch sollten Sie einen aktuellen Virenscanner einsetzen.
Anschließend sollten Sie Ihre Webseite komplett vom Webserver löschen und neu hochladen. Wenn Sie weiterhin FileZilla nutzen wollen, so sollten Sie zumindest auf das Speichern von Webseiten im Server-Manager komplett verzichten, bis hier eine bessere Möglichkeit gefunden wurde, die Zugangsdaten zu speichern.