Apaches Java-Webserver

Symantec warnt vor Tomcat-Wurm

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Unternehmen, die ihre Webserver auf Apache Tomcat hosten, können laut Sicherheitsexperten von einem neuentdeckten Backdoor-Wurm namens Java.Tomdep betroffen sein.

Der Java.Tomdep-Schädling wurde von Symantec als Java-Servlet entlarvt und ist bisher unter anderem in den USA, China, Italien und Schweden aufgetreten. Sobald ein Tomcat-Webserver das Servlet ausführe, vollziehe das System die Anmeldung als Bot in einem IRC-Chatroom, von dem aus der Tomdep-Botmaster die Server übernehmen und ohne Wissen ihrer Besitzer steuern könne. Beobachtet wurde laut Symantec, dass infizierte Maschinen massenweise UDP-Pakete an Clients schickten (UDP Flooding), das System als SOCKS-Proxy missbrauchten, Dateien aus dem Internet luden und gezielt nach weiteren Tomcat-Installationen im Netz suchten, um diese ebenfalls zu infizieren.

Java.Tomdep verbreitet sich über Webserver mit Apache Tomcat und wird via Internet Relay Chat (IRC) gesteuert.
Java.Tomdep verbreitet sich über Webserver mit Apache Tomcat und wird via Internet Relay Chat (IRC) gesteuert.
Foto: Symantec

Symantec hält es zudem für möglich, dass demnächst großangelegte DDoS-Attacken von den Tomdep-Bots aus gestartet werden. Wer die Web-Seiten besuche, die von den Apache-Tomcat-Servern gehostet werden, habe laut Symantec bisher keine Infektion seines Clients zu befürchten. Die Command-and-Control-Server des Java.Tomdep-Netzes werden in Taiwan und Luxemburg vermutet.