Tomcat-Wurm springt von Server zu Server


#1

Sicherheitsexperten von Symantec haben einen Wurm entdeckt, der Apaches Java-Webserver Tomcat befällt und auf diesen Hintertüren öffnet. Der von Symantec als Tomdep getaufte Schädling verbreitet sich dabei in der Form eines Java-Servlets und kann von Server zu Server springen. Wird der Schadcode vom Java-Server ausgeführt, meldet sich das System in einem IRC-Chatroom an und wartet auf weitere Befehle.

Das klingt böse.


#2

nicht wirklich - der Screenshot lässt ja schon mal die User/Pass Kombi sehen. Das Ding probiert nur - da werden Bugs gesucht. Schlimmer wird es wenn die parallel eine Passwort-DB abfragen und dann richtig los legen.


#3

Die frage ist jetzt, wie man sich davor schützen kann.

Auf meinem Tomcat ist der nicht zufinden, ich hab auch keine Standard-Passwörter benutzt.

Die Manager-App brauch ich auf dem Tomcat, da ich derzeit jeden zweiten Tag die Anwendung neu deploye und ich dazu nicht immer remote auf den Server drauf möchte.

Ich habe aber im log schon häufiger Eintrge wie diese gesehen:

12.11.2013 03:12:11 org.apache.catalina.realm.LockOutRealm authenticate
WARNUNG: An attempt was made to authenticate the locked user “admin”

Heißt dass jetzt, das irgendwo im Netzwerk jemand diesen Wurm hat? Der Server ist nur im Intranet zu erreichen, von außerhalb finde ich den gar nicht erst.


#4

Heißt dass jetzt, das irgendwo im Netzwerk jemand diesen Wurm hat? Der Server ist nur im Intranet zu erreichen, von außerhalb finde ich den gar nicht erst.

Möglich wäre es. Kannst du den Request nicht zum HTTP-Request zurückverfolgen um so den Absender zu bekommen?


#5

da muß ich erstmal rausfinden wen ich hier im Konzern dazu ansprechen kann. Will ja keine schlafenden Hunde wecken xD


#6

im Zweifelsfall den nächsten Vorgesetzten. Damit das Ding nicht im Sand verläuft soll der nur die richtige Stelle raussuchen - außer er hat in der tat Ahnung von der Materie.


#7

[QUOTE=TheDarkRose]

Das klingt böse.[/QUOTE]

Gar nicht.

Wer Default Passwörter verwendet verdient das.


#8

Naja, sehe ich nicht so. Allerdings gebe ich auch dem Taschendieb die Schuld der die Geldbörse aus der Gesäßtasche stielt und nicht dem armen Tropf der es in der Gesäßtasche getragen hat.


#9

Das ist nicht so ganz vergleichbar, finde ich. Solche Username / Passwort-Kombinationen zu verwenden, ist schon fahrlässig. Und ein besseres Passwort zu verwenden, stellt keinen Mehraufwand dar.


#10

Die Geldbörse in die Jackeninnentasche zu stecken auch nicht. Ich streite gar nicht ab, dass es da sicher auch eine Mitschuld der jeweiligen Opfer gibt. Allerdings finde ich dann doch dass die überwältigende Hauptschuld immer den Täter trifft und nicht das Opfer.


#11

Da sind wir uns einig. Ich schrieb ja auch nur von “Fahrlässigkeit”. Aber ein “selbst schuld!” könnte ich mir auch nicht verkneifen, wenn jemand sein System so “absichert”.


#12

Werden vermutlich lokale Test-Installationen die aus Versehen öffentlich erreichbar waren und jetzt spuken sie im Intranet herum. Vielleicht ein Entwickler-Laptop der auch schon in einem öffentlichen Netz war. Dass das eine Installation aus der Prod. oder Dev. Umgebung ist kann ich mir kaum vorstellen.

Wir haben in der Firma leider auch noch keine Vagrant-Boxen für die Devs aufgesetzt und verwenden deshalb nur die lokalen Tomcats im Eclipse. Dort hab’ ich die Config auch noch nie geändert.


#13

Stimmt lokal hab ich mir letztens darum auch keine Gedanken gemacht :open_mouth: ^^ Da wird der Tomcat aber nur über Eclipse gestartet und ist ausm Autostart raus.