A raíz del último post publicado acerca de la inyección de código en diversos alojamientos, hemos podido constatar que no sólo es posible contagiarse de forma tradicional entre PC’s, sino también mediante la visualización de páginas web que alojan contenido fraudulento y que de forma intencionada pueden capturar datos sensibles como son las conexiones de FTP.

Es un hecho conocido que, al acceder a una página web que aloja contenido realizado en Flash o en Javascript, de forma intencionada se puede llegar a localizar las sesiones guardadas de FTP, por lo que siempre deberemos utilizar clientes de FTP que encripten el password de FTP, de modo que imposibilitemos el acceso fraudulento a nuestros alojamientos.

Hasta ahora hemos recomendado siempre el uso de Filezilla para conectar a nuestros servidores, no obstante, es un cliente de FTP vulnerable al que se le pueden captar las credenciales de FTP desde sistemas operativos Windows, Linux o Mac. Enumeramos a continuación una serie de clientes de FTP vulnerables al robo de passwords:

• SecureFx
• IpSwitch
• FTPWare
• Rhine Software
• FileZilla
• Total Commander
• BulletProof Ftp
• GlobalScape Ftp
• CoffeCup Fp
• Ftp Commander Pro
• Smart Ftp
• Leap Ftp
• Far

Por ejemplo, si utilizamos Filezilla, siempre podremos acceder al archivo donde se guardan los datos en una ruta como la siguiente:

En Windows XP:
C:\Documents and Settings\Usuario\Datos de programa\FileZilla\sitemanager.xml
C:\Documents and Settings\Usuario\Datos de programa\FileZilla\recentservers.xml


En Linux:
/home/usuario/.filezilla/sitemanager.xml
/home/usuario/.filezilla/recentservers.xml


Si comprueban las rutas que hemos citado, podrán observar que se guardan las conexiones de FTP en texto plano, es decir, los datos de usuario y password no se encriptan, lo que puede permitir que un acceso fraudulento a su PC, ya sea mediante virus/spyware o desde el propio navegador, pueda conocer sus datos de FTP y así en cualquier momento su web sea objeto de ataques.

Cuando se dan estas circunstancias, pierde sentido el uso de protocolos SFTP (más seguros al establecer una conexión por FTP) ya que el problema principal no reside en la comunicación cliente-servidor, sino en el almacenaje de los datos de conexión en el ordenador del cliente.

Por todo lo explicado recomendamos encarecidamente abandonar el uso de Filezilla, debido a que en su última versión aún no se encriptan los datos que se almacenan en el ordenador, y sugerimos probar con el cliente de FTP WinSCP, el cual ofrece una mayor seguridad en el almacenaje de datos, es gratuito, y se encuentra disponible en varios idiomas.

Recuerden que al desinstalar Filezilla, se deberá borrar de forma manual los archivos alojados en la misma carpeta que hemos citado más arriba, de modo que no quede rastro de la configuración de este programa.

En resumen, desde CDmon recomendamos los siguientes puntos para mantener elevada la seguridad en las conexiones a nuestros alojamientos:

• Utilizar y actualizar el antivirus.
• Chequear periódicamente los PC’s con un antispyware.
• Cambiar con frecuencia el password de FTP.
• Actualizar todos los CMS y sus plugins que utilicemos en la web (Joomla, Wordpress, Drupal, etc.).
• Desinstalar Filezilla u otro programa FTP que no encripte los datos de conexión almacenados completamente y utilizar WinSCP.

Queremos pedir disculpas por haber recomendado hasta este momento un cliente de FTP poco seguro, en breve rectificaremos nuestros tutoriales. Conociendo todo lo expuesto, una de nuestras acciones preventivas para nuestros clientes ha sido cambiar las contraseñas de FTP, ya que estábamos observando un crecimiento y expansión del virus.

Para cualquier consulta acerca de este tema puede contactar con nosotros.

Equipo técnico de CDmon.com

(La siguiente noticia ha sido redactada con información extraída de la red)

Hemos observado en los últimos días una reciente actividad relacionada con (aun por confirmar) una variante del antiguo virus Bagle.
El funcionamiento básico es el siguiente: el virus se encuentra en el ordenador del usuario (afecta a windows), después de haber ejecutado algún programa infectado, el virus se queda en el sistema. Este recolecta datos privados de interés, tales como usuarios y contraseñas de accesos FTP y de áreas privadas de una página web. Dichos datos privados son enviados mediante correo electrónico a cuentas privadas de spammers y crackers. Principalmente los spammers usan dichos datos para conectarse mediante FTP a las páginas web de los usuarios infectados, subiendo los siguientes archivos:

ftpchk3.php
ftpchk3.pl

A continuación pasan bots automáticos que ejecutarán dichos archivos que les servirá como test del servidor. Inmediatamente estos archivos son eliminados para evitar la detección por parte de los usuarios u otros Spammers. Al cabo de unos días, nuevos archivos serán subidos a la web objetivo, que pueden ser del tipo:

hot_video.exe
index1.php
index6.html
load.php
logs.txt
movie.gif
pindex.php

Por ejemplo, el fichero hot_video.exe contiene el troyano Downloader.Tibs.9.V. I tan pronto como los archivos son subidos al servidor, el spam empieza a ser enviado usando el servidor que hospeda los archivos infectados y linkando a los archivos infectados que se encuentra alojados en la web infectada. El resultado final es la inclusión en listas negras de la IP infectada, o en el peor de los casos la suspensión automática del dominio por propagación de virus.

Recomendaciones:

Es por ello que aconsejamos encarecidamente que todos los usuarios actualicen sus antivirus y antispywares. Para aquellos usuarios que no dispongan de dicha protección, pueden descargarse versiones gratuitas como el CLAMAV (antivirus multiplataforma) y SPYBOT (antispyware para windows).

A su vez, recomendamos no usar el acceso FTP a través de navegadores como el Internet Explorer o Firefox, ya que son más propensos a la captura de los datos de conexión. Pueden usar el Filezilla (cliente FTP gratuito) o el acceso WebFTP que ponemos a disposición de todos nuestros clientes desde el panel de control de CDmon.

Los servidores de CDmon disponen de antivirus y spywares instalados para la detección y eliminación automática de virus y malware. En el caso que nuestro sistema de detección descubra virus o malware en alojamientos web alojados en CDmon, nuestros técnicos se pondrán en contacto con el usuario de la web infectada para alertarle.