Webmasters moeten wachtwoorden voor websites niet in hun FTP-programma opslaan, omdat ze daar een eenvoudige prooi voor malware zijn. Dat zegt beveiligingsonderzoeker Denis Sinegubko na weer een grootschalige aanval op tienduizenden websites. De websites worden aangepast nadat malware het opgeslagen FTP-wachtwoord uit het FTP-programma heeft gestolen.

Aanvallers injecteren een iframe op gehackte websites, die bezoekers met verouderde programma's automatisch infecteren. Op deze besmette computers wordt weer naar FTP-wachtwoorden gezocht en zo gaat de cyclus door. Inmiddels zouden 22.400 unieke domeinen en 536.000 pagina's zijn besmet.

Wachtwoord
Sinegubko adviseert webmasters om alle computers die toegang tot hun websites hebben op malware te scannen. Verder moet men alle wachtwoorden wijzigen en geen nieuwe wachtwoorden in FTP programma's opslaan. "Configureer ze zo dat ze elke keer om een wachtwoord vragen als je verbinding maakt."

Wie meerdere websites beheert en wachtwoorden niet kan of wil onthouden, zou volgens de onderzoeker een alternatief als KeePass kunnen gebruiken, dat wachtwoorden wel veilig opslaat. Verder moet men bij niet meer gebruikte FTP-programma's eerder opgeslagen wachtwoorden verwijderen.

Naast het uitlezen van opgeslagen wachtwoordbestanden, luistert sommige malware ook het FTP-verkeer af. Aangezien inloggegevens onversleuteld worden verstuurd, zijn die ook tijdens het opzetten van de verbinding een eenvoudige prooi. Sinegubko adviseert dan ook SFTP, waar de wachtwoorden niet tijdens het transport zijn af te luisteren.