08 dic 2009

Evitar robo de claves de FTP

7

A raíz del último post publicado acerca de la inyección de código en diversos alojamientos, hemos podido constatar que no sólo es posible contagiarse de forma tradicional entre PC’s, sino también mediante la visualización de páginas web que alojan contenido fraudulento y que de forma intencionada pueden capturar datos sensibles como son las conexiones de FTP.

Es un hecho conocido que, al acceder a una página web que aloja contenido realizado en Flash o en Javascript, de forma intencionada se puede llegar a localizar las sesiones guardadas de FTP, por lo que siempre deberemos utilizar clientes de FTP que encripten el password de FTP, de modo que imposibilitemos el acceso fraudulento a nuestros alojamientos.

Hasta ahora hemos recomendado siempre el uso de Filezilla para conectar a nuestros servidores, no obstante, es un cliente de FTP vulnerable al que se le pueden captar las credenciales de FTP desde sistemas operativos Windows, Linux o Mac. Enumeramos a continuación una serie de clientes de FTP vulnerables al robo de passwords:

  • SecureFx
  • IpSwitch
  • FTPWare
  • Rhine Software
  • FileZilla
  • Total Commander
  • BulletProof Ftp
  • GlobalScape Ftp
  • CoffeCup Fp
  • Ftp Commander Pro
  • Smart Ftp
  • Leap Ftp
  • Far

Por ejemplo, si utilizamos Filezilla, siempre podremos acceder al archivo donde se guardan los datos en una ruta como la siguiente:

En Windows XP:
C:\Documents and Settings\Usuario\Datos de programa\FileZilla\sitemanager.xml
C:\Documents and Settings\Usuario\Datos de programa\FileZilla\recentservers.xml

En Linux:
/home/usuario/.filezilla/sitemanager.xml
/home/usuario/.filezilla/recentservers.xml

Si comprueban las rutas que hemos citado, podrán observar que se guardan las conexiones de FTP en texto plano, es decir, los datos de usuario y password no se encriptan, lo que puede permitir que un acceso fraudulento a su PC, ya sea mediante virus/spyware o desde el propio navegador, pueda conocer sus datos de FTP y así en cualquier momento su web sea objeto de ataques.

Cuando se dan estas circunstancias, pierde sentido el uso de protocolos SFTP (más seguros al establecer una conexión por FTP) ya que el problema principal no reside en la comunicación cliente-servidor, sino en el almacenaje de los datos de conexión en el ordenador del cliente.

Por todo lo explicado recomendamos encarecidamente abandonar el uso de Filezilla, debido a que en su última versión aún no se encriptan los datos que se almacenan en el ordenador, y sugerimos probar con el cliente de FTP WinSCP, el cual ofrece una mayor seguridad en el almacenaje de datos, es gratuito, y se encuentra disponible en varios idiomas.

Recuerden que al desinstalar Filezilla, se deberá borrar de forma manual los archivos alojados en la misma carpeta que hemos citado más arriba, de modo que no quede rastro de la configuración de este programa.

En resumen, desde CDmon recomendamos los siguientes puntos para mantener elevada la seguridad en las conexiones a nuestros alojamientos:

  • Utilizar y actualizar el antivirus.
  • Chequear periódicamente los PC’s con un antispyware.
  • Cambiar con frecuencia el password de FTP.
  • Actualizar todos los CMS y sus plugins que utilicemos en la web (Joomla, WordPress, Drupal, etc.).
  • Desinstalar Filezilla u otro programa FTP que no encripte los datos de conexión almacenados completamente y utilizar WinSCP.

Queremos pedir disculpas por haber recomendado hasta este momento un cliente de FTP poco seguro, en breve rectificaremos nuestros tutoriales. Conociendo todo lo expuesto, una de nuestras acciones preventivas para nuestros clientes ha sido cambiar las contraseñas de FTP, ya que estábamos observando un crecimiento y expansión del virus.

Para cualquier consulta acerca de este tema puede contactar con nosotros.

Equipo técnico de CDmon.com

Archivado en Hosting, Seguridad

7 comentarios (Deja tu comentario)

  1. Daniel

    8 de diciembre, 2009. 18:26

    Lo que se me hace raro de todo esto, es que trabajo con varias empresas de hosting, con el mismo programa para todas, y solo han accedido a las de cdmon…

    Saludos.


  2. CDmon

    9 de diciembre, 2009. 14:04

    Hola Daniel,

    Como ya comentábamos en nuestro anterior post, el atacante es el que decide cuando hacerlo contra unos servidores u dominios de forma totalmente arbitraria, hemos podido comprobar que con un cambio de password de FTP la inyección de código se detiene. Es por ello que aconsejamos seguir nuestros consejos para evitar en un futuro nuevas inyecciones.

    Saludos.


  3. Carlos

    9 de diciembre, 2009. 16:04

    A mi lo que no me cuadra es que nos afecte a todos y no sólo a aquellos alojamientos que han sufrido la inyección de código. Parece ser que da igual las medidas de seguridad que adoptemos con nuestras contraseñas y aplicaciones de cliente FTP, si atacan a un alojamiento, todos tenemos que sufrir estos cambios.


  4. Ramon

    11 de diciembre, 2009. 17:55

    Hola,

    La única explicación coherente es que la inyección de código se ha producido internamente desde CDmon y ha afectado a varias web alojadas.

    Nosotros hemos tenido el problema en varias de nuestras webs con CDmon y nunca hemos guardado ningún password en ingún fichero: lo picamos cada vez (por seguridad, claro). Pero esto no nos ha servido de nada, CDmon se ha dejado abierta la puerta de atrás.

    Revisad bien donde teneis la vulnerabilidad, por favor, o si no estaremos igual en unos pocos días. No os creais que ha sido un problema de los usuarios que son unos ignorantes y unos despreocupados, por favor. Algunos tenemos muy claro lo qué tenemos entre manos y cómo hay que trabajar para que no se nos cuele nadie al root de nuestra web.

    Un saludo


  5. CDmon

    14 de diciembre, 2009. 14:17

    Apreciado Carlos,

    Tiene usted razón, le pedimos disculpas a usted y todos los usuarios que han sido afectados colateralmente. Redactaremos una noticia en el blog para pedir disculpas oficialmente y para facilitar más información a cerca de la situación actual.

    Por otro lado y contestando a Ramon,

    Tenemos algunas dudas de como usuarios como el suyo han sido afectados. Es una tarea que estamos investigando y en cuanto tengamos más información la haremos pública para despejar toda duda. Podemos constatar que la base de datos no ha sido vulnerada directamente y que esta dispone de los mecanismo criptográficos suficientes como para garantizar la salvaguarda de la información en caso que esta hubiera sido vulnerada.

    En todo momento tenemos la voluntad de tener una actitud transparente y es por ello que pedimos un voto de confianza a nuestros clientes.

    Muchas gracias,
    CDmon


  6. Xavier

    17 de diciembre, 2009. 18:31

    Hola,

    Estos problemas de vulnerabilidad que comentan de FileZilla no son aplicables a los usuarios de Windows Vista, ya que las contraseñas si que se guardan encriptadas en este sistema operativo…, podrían ser un poco más rigurosos antes de difundir noticias como las que están difundiendo.

    Saludos


  7. Miguel Ángel Dávila

    12 de enero, 2010. 20:55

    Hola,

    efectivamente a mí me ha ocurrido lo mismo (ataque a fichero htaccess, inyección de código malicioso, etc) y tengo otras páginas con otros proveedores como ACENS y no ha ocurrido nada. Coincido en que tiene más que ver por la parte de CDmon que por la de mis máquinas. Yo utilizo CODA para programar mis páginas y el programa FTP que viene incorporado por CODA que es muy seguro, además utilizo MAC, tengo antivirus actualizado y todo lo necesario para que no ocurran estas cosas. La verdad estoy un poco desconcertado y no sé qué hacer, de hecho me estaba llevando todos mis clientes a CDmon pero ahora quizá vuelva atrás, no sé, después de leer el comentario de Ramón me he quedado con muchas dudas y de CDmon siempre obtengo la misma respuesta.

    Veremos pero en mi caso el problema ha sido muy grave.

    Miguel.


Escribir un comentario

Asegúrate de rellenar los cambios necesarios que están indicados. Los comentarios están moderados y es posible que no aparezcan inmediatamente. Sé correcto y respeta a los demás a la hora de añadir tu comentario. Así conseguiremos mantener una conversación óptima entre todos.

(obligatorio)


(obligatorio)