Tomcat-Wurm springt von Server zu Server
Symantec hat einen Wurm entdeckt, der Apaches Java-Webserver infiziert und als Java-Servlet von Server zu Server springt. Infizierte Rechner werden als DDoS-Schleudern und Proxys missbraucht.
- Fabian A. Scherschel
Sicherheitsexperten von Symantec haben einen Wurm entdeckt, der Apaches Java-Webserver Tomcat befällt und auf diesen Hintertüren öffnet. Der von Symantec als Tomdep getaufte Schädling verbreitet sich dabei in der Form eines Java-Servlets und kann von Server zu Server springen. Wird der Schadcode vom Java-Server ausgeführt, meldet sich das System in einem IRC-Chatroom an und wartet auf weitere Befehle.
Die Lenker des Tomdep-Botnets können den Rechner dann dazu bringen, Dateien aus dem Netz herunterzuladen, andere Rechner mit UDP-Paketen zu überschütten oder das System als SOCKS-Proxy zu missbrauchen. Mit Tomdep infizierte Server scannen außerdem das Netz, suchen andere Tomcat-Installationen und versuchen diese ebenfalls zu infizieren. Zugang verschafft sich der Wurm, in dem er eine Reihe von Standard-Passwörtern ausprobiert.
Besucher der von den Servern bereitgestellten Webseiten bekommen von diesem Vorgang nichts mit und werden, jedenfalls momentan, auch nicht angegriffen. Symantec stellt fest, dass Webserver wie Tomcat ein beliebtes Ziel für Angreifer sind, da sie in der Regel auf System laufen, die über eine gute Hardware-Ausstattung verfügen und ununterbrochen laufen. Dadurch eignen sich Rechner dieser Art besonders als Grundlage von DDoS-Angriffen. Bis jetzt sind ähnliche Trojaner allerdings als PHP-Schadcode bekannt.
Die Tomdep-Infektion ist laut Symantec momentan auf einige wenige Länder beschränkt, darunter die USA, Schweden, China und Italien. Steuerserver für das Botnet sollen sich in Taiwan und Luxemburg befinden. (fab)