Kategorien
Internet & Medien

FileZilla mit Trojaner: Gehackte FileZilla-Version stiehlt Login-Daten

Wer für den FTP-Versand den kostenlosen FTP-Client „FileZilla“ verwendet, muss aufpassen. Der Virenschutz-Hersteller Avast hat manipulierte FileZilla-Versionen entdeckt, die heimlich Zugangsdaten ausspionieren und unbemerkt an Hacker verschicken. Die gefälschten Versionen sind so gut gemacht, das sie kaum als Trojaner auffallen.

Vorsicht vor Versionen 3.7.3 und 3.5.3

Avast warnt im hauseigenen Blog vor gefälschten FileZilla-Versionen mit den Versionsnummern 3.7.3 und 3.5.3. Die trojanisierten FileZilla-Versionen werden vor allem auf dubiosen Download-Portalen angeboten, die optisch kaum von der Original-Download-Seite (https://filezilla-project.org) zu unterscheiden sind.

Auch die gehackte Version selbst unterscheidet sich nur minimal vom Original. Unter „Hilfe | Über“ ist bei der Fälschung zum Beispiel eine ältere SQLite/GnuTLS-Version angegeben oder die Angabe fehlt gänzlich. In der Zeile „GnuTLS“ taucht in der gefälschten Version zum Beispiel die Versionsnummer 2.8.6 statt der korrekten Angabe 3.1.11 auf.

filezilla-trojaner-hacker-gefaelscht-faelschung

Wer eine gefälschte FileZilla-Version verwendet, ist schnell seine Zugangsdaten los. Die gestohlenen Login-Daten werden an der Firewall vorbei per FTP an einen Server in Deutschland mit der IP-Adresse 144.76.120.243 geschickt; die zugehörigen Domains wurden in Russland bei Naunet.ru registriert, die bereits in der Vergangenheit in Sachen Spam und Malware für Aufsehen gesorgt haben.

Was sollte man jetzt tun? Zuerst sollte man prüfen, ob auf dem eigenen Rechner eine der gefälschten Varianten mit den Versionsnummern 3.5.3 oder 3.7.3 zum Einsatz kommen. Ein Blick ins Menü „Hilfe | Über“ und auf die Zeilen „GnuTLS“ sowie „SQLite“ verschafft Gewissheit, ob es sich um eine gefälschte Version handelt. Falls die Hackerversion installiert ist, sollten Sie unbedingt diese Version deinstallieren und durch die offizielle Version von der offiziellen FileZilla-Seite https://filezilla-project.org ersetzten. Ebenfalls wichtig: Ändern Sie sämtlich FTP-Zugangsdaten, da die Hacker vermutlich bereits im Besitzt der alten Logins sind.

FileZilla speichert Kennwörter im Klartext

Wer FileZilla einsetzt, sollte zudem eines wissen: FileZilla speichert sämtliche Login-Daten nicht verschlüsselt, sondern im Klartext. Welche Brisanz das birgt, haben wir im Tipp „FilleZilla speichert Kennwörter unverschlüsselt“ dargestellt. Hier erfahren Sie auch, wo die Datei mit den Logins liegt wie und warum man das automatische Speichern der Kennwörter besser deaktiviert.

Kategorien
Hardware & Software

FileZilla speichert Kennwörter unverschlüsselt. Im Kiosk-Modus das Speichern von FTP-Passwörtern deaktivieren

Eigenartiges Sicherheitsbewusstsein von den FileZilla-Machern: Das beliebte FTP-Programm speichert sämtliche Kennwörter unverschlüsselt im Klartext. Wer an die XML-Datei mit den Kennwörtern gelangt, hat sofort Zugriff auf alle FTP-Server. Nachrüsten lässt sich die Verschlüsselung nicht. Wer FileZilla deshalb nicht gleich den Rücken kehren möchte, kann zumindest das Speichern der FTP-Kennwörter verhindern.

Unverschlüsselte Kennwörter? Nicht unser Problem

Die FileZilla-Macher verteidigen ihr Vorgehen sogar dreist mit dem Argument, man sei nicht für die Sicherheit der Rechner verantworlich; darum müsse sich der FileZilla-Anwender schon selbst kümmern. Das unverschlüsselte Speichern der Kennwörter ist also gewollt.

Wer sich selbst davon ein Bild machen und seine eigenen Kennwörter im Klartext sehen möchte, muss im Explorer nur in den Ordner

C:\Users\<Benutzername>\AppData\Roaming\FileZilla

wechseln, wobei <Benutzername> für Ihren Benutzernamen steht. Sollte der Ordner nicht sichtbar sein, müssen Sie im Explorer zuerst die Anzeige der verborgenen Dateien und Ordner aktivieren, zum Beispiel mit dem Befehl „Extras | Ordneroptionen | Ansicht | Ausgeblendete Dateien, Ordner und Laufwerke anzeigen“.

Wenn Sie im Roaming-Ordner die Datei „sitemanager.xml“ mit einem Texteditor öffnen (Rechtsklick und „Öffnen mit | Editor“), sehen Sie jeweils in den Zeilen „<Pass>“ die Kennwörter. Im Klartext und unverschlüsselt. Wer an die Datei „sitemanager.xml“ kommt, gelangt auch an die FTP-Kennwörter.

Kiosk-Modus verhindert Kennwort-Speicherung

Das Problem lässt sich auch nicht einfach dadurch lösen, dass Sie die Kennwörter löschen. Beim nächsten Verbindungsaufbau speichert FileZilla die Kennwörter wieder in unverschlüsselter Form ab. Die einzige Lösung ist der sogenannte Kiosk-Modus. Wird FileZilla im Kiosk-Modus gestartet, speichert das FTP-Tool keine Kennwörter mehr.

Um den Kiosk-Modus zu aktivieren, öffnen Sie im Explorer wieder den Ordner

C:\Users\<Benutzername>\AppData\Roaming\FileZilla

Dann klicken Sie mit der rechten Maustaste auf die Datei „filezilla.xml“ und wählen im Kontextmenü den Befehl „Bearbeiten“. Dann suchen Sie mit [Strg][F] nach dem Stichwort „Kiosk“. Sollten Sie die Zeile

<Setting name=“Kiosk mode“>0</Setting>

finden, ändern Sie einfach den Wert 0 (Ziffer Null) in 1. Fehlt die Kiosk-Zeile, fügen Sie einfach ganz oben in der Datei unterhalb von

<FileZilla3>
   <Settings>

die Zeile

<Setting name=“Kiosk mode“>1</Setting>

hinzu. Die Datei sollte dann so aussehen wie im folgenden Screenshot.

Abschließend speichern Sie die Datei mit dem Befehl „Datei | Speichern“ und schließen den Editor wieder.   FileZilla startet jetzt immer im eingeschränkten Kiosk-Modus. Das bedeutet: Wenn Sie jetzt mit FileZilla eine FTP-Verbindung aufbauen, müssen Sie zum Verbindungsaufbau das Kennwort eingeben. Dank Kiosk-Modus wird das FTP-Passwort aber nicht mehr gespeichert und kann nicht mehr von Schadprogrammen ausgespäht werden.