Динозавры среди нас. В интернете нашли миллионы серверов, которые думают, что на дворе 1975-й

Протокол, придуманный ещё в начале 1970-х, до сих пор живёт в интернете и никуда не исчез. Более того, миллионы серверов продолжают использовать FTP так, словно на дворе не 2026 год, а эпоха первых сайтов.

По данным Censys, в апреле 2026 года в интернете насчитывается около 5,94 млн узлов, на которых открыт хотя бы один FTP-сервис. Два года назад таких было больше 10 млн, так что количество сократилось примерно на 40%. Снижение заметное, но речь всё равно идёт о гигантской инфраструктуре, которая по-прежнему открыта в интернет.

Проблема не в самом существовании FTP. Главный вопрос в том, как настроены такие серверы. Почти 59% узлов поддерживают шифрование через TLS, а вот около 2,45 млн не показали никаких признаков защищённого соединения. Часть из них может поддерживать шифрование, но факт остаётся: для миллионов серверов нет подтверждения, что данные передаются безопасно.

Ситуация сильно зависит от региона. В материковом Китае и Южной Корее доля защищённых FTP-серверов крайне низкая – около 18% и 14,5% соответственно. В то же время в США показатель достигает 74%, а в Гонконге – 87%. Япония выделяется по другой причине: на страну приходится 71% всех серверов с устаревшими версиями TLS.

Отдельная история – серверы на базе Microsoft IIS. Более 150 тыс. таких служб отвечают кодом 534, который означает, что TLS фактически не настроен. При этом конфигурация может выглядеть так, будто шифрование включено. Причина проста: система по умолчанию требует TLS, но сертификат не задан, из-за чего защищённое соединение не устанавливается, а сервер спокойно принимает данные в открытом виде.

В целом картина выглядит довольно прозаично. Большинство FTP-серверов – не специально настроенные системы для передачи файлов, а побочный эффект типовых конфигураций. FTP часто включается вместе с хостингом, почтой или базами данных и годами остаётся без внимания.

Если посмотреть на используемое программное обеспечение, лидирует Pure-FTPd – около трети всех служб. Далее идут ProFTPD и vsftpd, который часто появляется просто потому, что установлен по умолчанию в операционной системе. Встречаются и устаревшие версии: например, почти 1,7 тыс. серверов всё ещё используют vsftpd 2.3.4 – версию, известную компрометацией цепочки поставок ещё в 2011 году.

Интересно, что не все FTP работает на стандартных портах. Хотя около 95% служб используют привычные 21, 20 и 990, остальная часть распределена по десяткам нестандартных портов. Часто такие случаи связаны с конкретными провайдерами, домашними устройствами или готовыми шаблонами виртуальных серверов.

Несмотря на постепенное снижение популярности FTP, полностью исчезать протокол не собирается. Современные альтернативы вроде SFTP уже давно стали стандартом, но старые системы продолжают работать по инерции. Во многих случаях FTP остаётся просто потому, что его однажды включили и больше не трогали.

Именно поэтому главный вопрос для любой компании звучит не «как защитить FTP», а «зачем он вообще нужен». В большинстве случаев безопаснее заменить его на более современные решения или хотя бы включить шифрование. Пока этого не происходит, миллионы серверов продолжают оставаться потенциальной точкой риска.