Menü

Tomcat-Wurm springt von Server zu Server

Lesezeit: 1 Min.
In Pocket  speichern vorlesen Drucken Kommentare lesen 99 Beiträge
Security
Von

Sicherheitsexperten von Symantec haben einen Wurm entdeckt, der Apaches Java-Webserver Tomcat befällt und auf diesen Hintertüren öffnet. Der von Symantec als Tomdep getaufte Schädling verbreitet sich dabei in der Form eines Java-Servlets und kann von Server zu Server springen. Wird der Schadcode vom Java-Server ausgeführt, meldet sich das System in einem IRC-Chatroom an und wartet auf weitere Befehle.

Die Lenker des Tomdep-Botnets können den Rechner dann dazu bringen, Dateien aus dem Netz herunterzuladen, andere Rechner mit UDP-Paketen zu überschütten oder das System als SOCKS-Proxy zu missbrauchen. Mit Tomdep infizierte Server scannen außerdem das Netz, suchen andere Tomcat-Installationen und versuchen diese ebenfalls zu infizieren. Zugang verschafft sich der Wurm, in dem er eine Reihe von Standard-Passwörtern ausprobiert.

Teil des Schadcodes, der versucht andere Server über Standard-Passwörter zu knacken

(Bild: Symantec)

Besucher der von den Servern bereitgestellten Webseiten bekommen von diesem Vorgang nichts mit und werden, jedenfalls momentan, auch nicht angegriffen. Symantec stellt fest, dass Webserver wie Tomcat ein beliebtes Ziel für Angreifer sind, da sie in der Regel auf System laufen, die über eine gute Hardware-Ausstattung verfügen und ununterbrochen laufen. Dadurch eignen sich Rechner dieser Art besonders als Grundlage von DDoS-Angriffen. Bis jetzt sind ähnliche Trojaner allerdings als PHP-Schadcode bekannt.

Die Tomdep-Infektion ist laut Symantec momentan auf einige wenige Länder beschränkt, darunter die USA, Schweden, China und Italien. Steuerserver für das Botnet sollen sich in Taiwan und Luxemburg befinden. (fab)