Filezilla est un cancer dans la sécurité de vos sites internet. Danger !

[loran750]

Hello

Fillezilla est un cancer ? Allez, une rapide démonstration sera plus évidente.
Pour ceux qui utilisent ce logiciel leader de FTP, allez dans C:\Users\<nom d'utilisateur>\AppData\Roaming\FileZilla et consultez le fichier sitemanager.xml.

Voilà, j'en dis pas plus. Et ajoutez cela à un PC infecté par un trojan (pourtant j'ai nod32 + spybot ) et vous aurez le pompom : Le nettoyage de vos sites et le changement de mot de passe de tous les comptes FTP utilisés par Filezilla.

Merci Fillezilla. MERCI. Je ne savais pas ce que j'allais faire ce week end, maintenant je sais.

Lolo

Pour les fainéants, voici un extrait du fichier en question :

<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<FileZilla3>
<Servers>
<Server>
<Host>domaine.fr</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>nom d'utilisateur</User>
<Pass>tu le vois mon mot de passe en clair ? Hein, tu le vois ??? Hé Ho !!! Coucou je suis là !!! C'est Open Bar. PROFITE MON AMI, PROFITE C'EST GRATUIT</Pass>
<Logontype>1</Logontype>
<TimezoneOffset>0</TimezoneOffset>
<PasvMode>MODE_DEFAULT</PasvMode>
<MaximumMultipleConnections>0</MaximumMultipleConnections>
<EncodingType>Auto</EncodingType>
<BypassProxy>0</BypassProxy>
<Name>domaine.fr</Name>
<Comments></Comments>
<LocalDir></LocalDir>
<RemoteDir></RemoteDir>
<SyncBrowsing>0</SyncBrowsing>
</Server>
...

[tofm2]

Fillezilla est un cancer ? Allez, une rapide démonstration sera plus évidente.
Pour ceux qui utilisent ce logiciel leader de FTP, allez dans C:\Users\<nom d'utilisateur>\AppData\Roaming\FileZilla et consultez le fichier sitemanager.xml.

ben t'as qu'à plus utiliser windows t'auras plus ce problème ou n'utilise plus filezilla

[polweb]

En fait pour l'utiliser en toute sécurité il ne faut pas sauvegarder son mot de passe et faire du sftp. Je crois bien que les autres logiciels c'est la même chose.

A plus.

[tofm2]

@ loran750

FileZilla est un logiciel opensource. Tu as donc à ta disposition des adresses e-mail de contact pour signaler tout bug ou problème.

-> signale leur ce problème par email, tu auras très rapidement une mise à jour disponnible.

As tu gougeulisé ce problème ?

[loran750]

@tofm2 : c'est une solution un peu trop radicale. Pas assez geek pour prendre linux en tant qu'OS de bureau, pas assez fiote pour prendre MacOS... *
Quant à ce problème, cela fait plus d'1 an qu'il est régulièrement soulevé par la communauté mais n'est pas pris en compte par le "top management de Filezilla.
Tu utilises quoi comme logiciel de FTP ?

@poweb : spout (membre de WRI) m'a conseillé WinSCP à la place de Filezilla, et non les mots de passe ne sont pas en clair.

C'est vrai, je n'aurai pas du stocker mes mdp dans Filezilla... Mais je ne pensais pas imaginer qu'ils étaient stockés en clair !

[tofm2]

C'est vrai, je n'aurai pas du stocker mes mdp dans Filezilla... Mais je ne pensais pas imaginer qu'ils étaient stockés en clair !

Dédramatise la situation, ces MDP en clair sont protégés par ton MDP de session windows, tu as besoin d'avoir une session windows ouverte sous ton identifiant pour que tes MDP FTP soient lisibles.
Tu as bien mis un mot de passe à ta session windows, hein ? Sinon, heu, les plaintes de ce genre......

[loran750]

Ben vi quand même tofm2.
Par contre, d'après ce que j'ai lu sur le ouaibe, c'est l'oeuvre d'un trojan qui n'a pas été détecté par mon AV.
Donc grosse séance de mises à jour et d'installation d'outils pour traquer le méchant trojan.

[RomsIW]

Filezilla est réputé pour ses failles.. le mieux est effectivement de ne jamais sauvegarder ses mdp (quite à en choisir un moins compliqué lol)

[RomsIW]

et comme il réutilise ton mdp pour se connecter à chaque fois, il faut bien qu'il soit plus ou moins clair.
Filezilla étant open source, même si ton mdp n'est pas en clair, il l'est quand même vu qu'on peut voir toute méthode d'encryption utilisée...

[spout]

et comme il réutilise ton mdp pour se connecter à chaque fois, il faut bien qu'il soit plus ou moins clair.
Filezilla étant open source, même si ton mdp n'est pas en clair, il l'est quand même vu qu'on peut voir toute méthode d'encryption utilisée...

FTP passant en clair sur le réseau, ça peut même être un trojan qui sniffe les connexions FTP... indépendamment du client, mots de passe enregistrés ou pas.

[amph37]

connu le même problème il y a quelques temps. Je compatis. Une iframe vérolée pour chaque fichier index.php ou .html de mes sites...
Pour une meilleur sécu, si tu as une ip fixe et un serveur dédié, tu n'autorise que ton ip pour les connections ftp.

[cedric_g]

Purée ça fait peur 8-\

Du coup j'ai pris peur, mes pwd sont désormais "ailleurs" et je les retape au besoin...

Par contre c'est chiant car Filezilla ne demande pas le PWD s'il est vide et/ou incorrect



WinSCP a une ergonomie qui me semble moyenne, non ?

[amph37]

Pour ma part c'est un flash tout moisi qui m'avait refilé le vers... Mon AV avait bien gueulé (avast a l'époque) mais j'ai tout de même été touché. C'est la flippant quand tu découvre que google t'a bloqué pour cause de script malveillant (ça se débloque rapidement via webmaster tools après nettoyage).

[loran750]

Quels logiciels FTP,
et Antivirus/Trojan/Malware/Script kiddies utilisez vous ?

Là, je fais une session de Nod32 antivirus + Spybot + + Malware Bytes + Hijackthis ...

[amph37]

avec filezilla (mdp enregistré).
Je crois que le vers était Gumblar, j'avais un paquet de sites infestés un moment.
Avec windows, j'ai jamais trop confiance, j'avais préféré formater et repartir sur une base saine