:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
病毒通告
分隔線
Java.Tomdep 蠕蟲可感染Apache Tomcat 伺服器,請更新修補程式並提高警覺!(2013/12/27)
 
詳細描述:

【細節描述】
防毒軟體廠商近期發現 Java.Tomdep 蠕蟲,針對Tomcat主機之管理頁面進行探測與弱密碼攻擊。受感染的電腦還可掃描是否有其他Tomcat 伺服器並向其傳送惡意軟體。從受感染的伺服器發動分散式阻斷服務(DDoS) 攻擊可能就是攻擊者的目的。

該蠕蟲運作方式如下:

  1. 先以Web Server連線Port進行掃描(80、443、8080、13124、13122),確認主機是否為Tomcat主機。
  2. 如探測到為Tomcat 主機,則掃描登入頁面,進行管理者權限弱密碼登入 (病毒預設管理者帳號密碼為admin:admin, root:root, tomcat:tomcat, admin:password, manager:manager, tomcat:admin)。
  3. 如果登入成功,進行病毒檔案Apacheloader.war上傳 (hxxp://hostname:port?/manager/text/:/manager/deploy?path/ApacheLoader),並且執行此程式。
  4. 受感染主機開啟IRC服務6667 port,並透過IRC頻道通知中繼站主機資料內容與回傳檔案。
  5. 以此主機繼續進行掃描感染下一台tomcat主機。

中繼站清單如下:
(1) pic01.servepics.com:443
(2) pic01.servepics.com:80
(3) pic01.servepics.com:8080
(4) pic01.servepics.com:13124
(5) pic01.servepics.com:13122
(6) 140.xxx.xxx.xxx (臺灣)
(7) 8.23.224.110
(8) 94.242.251.57
(9) 94.242.251.58
(10) update01.serveblog.net
受感染國家美國、巴西、中國、義大利、瑞典、日本、南韓、越南、馬來西亞、新加坡、台灣等地

中華電信SOC 建議管理者應為Apache Tomcat 伺服器和防毒產品升級至最新版本、安裝修補程式、提升密碼複雜度以及不要開啟管理者通訊埠供公開存取,以降低受駭風險。

【修訂】

  • v1.0 (2013/12/02):發佈病毒通告。
  • v2.0 (2013/12/17):更新病毒通告。
  • v3.0 (2013/12/27):更新病毒通告,移除部分中繼站IP。
  •  
    受影響系統:
    • Apache Tomcat
     
    解決辦法:

    若不慎已感染此病毒,建議處理方式如下:

    1、刪除可疑的檔案
    2、刪除所有被植入的機碼
    3、請更新防毒軟體之病毒碼定義檔到最新
    4、請利用防毒軟體進行全系統掃描
    5、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
  • Symantec

  •  
     
    下框