LINUX.ORG.RU

Зафиксирован самораспространяющийся червь, поражающий серверы Apache Tomcat

 , ,


2

0

Компания Symantec обнаружила вредоносное ПО, сочетающее в себе функции бэкдора и червя, приспособленного для самостоятельного распространения. Вредоносное ПО поражает серверы приложений на базе Apache Tomcat, используя для проникновения метод подбора паролей. После поражения очередной системы вредоносное ПО может выполнять функции бэкдора, управление которым производится через сторонний IRC-сервер.

Поддерживаются типовые возможности троянского ПО, в том числе такие функции, как выполнение произвольных команд на поражённой системе, запуск SOCKS-прокси, обновления собственного кода, участие в DDoS-атаках, перехват и отправка конфиденциальных данных. Особый интерес представляют функции для сканирования сети на предмет наличия других серверов с Tomcat и организации атаки на них. Атака строится на переборе тривиальных паролей для типовых логинов, например, «admin:admin», «tomcat:password» и т.п.

Код вредоносного ПО, который в базе Symantec фигурирует как Java.Tomdep, написан на языке Java и распространяется в форме сервлета, выполняемого в Apache Tomcat. Java.Tomdep не привязан к конкретным платформам и поражает Tomcat-серверы на базе Linux, OS X, Solaris и Windows. Особенностью также является то, что несмотря на запуск в окружении Tomcat, взаимодействие с вредоносным ПО основано на использовании IRC, без создания или модификации web-страниц (атака не нацелена на посетителей сайтов, обслуживаемых поражённым сервером). Вредоносный код поставляется в файле ApacheLoader, например, размещается как /jsp-examples/error/ApacheLoader.

>>> Подробности на OpenNET

Окей... где надо качать?

anonymous ()

Атака строится на переборе тривиальных паролей для типовых логинов, например, «admin:admin», «tomcat:password» и т.п.

Очередной ССЗБ «вирус». Криволапых админов спасет либо практика, либо живительная эвтаназия.

NeverLoved ★★★★★ ()

Дык а есть ещё те кто юзает дефолтные логины и пароли то Оо? ФУЖОС....

svsd_val ()

на переборе тривиальных паролей для типовых логинов, например, «admin:admin», «tomcat:password»

swag

fornlr ★★★★★ ()

выложили бы на лор этот вирус,магабакс с компанией за пол часа бы убрали уязвимость.

erzent ☆☆ ()

Атака строится на переборе тривиальных паролей для типовых логинов, например, «admin:admin», «tomcat:password» и т.п.

Неужели в открытых сетях в продакшне так много томкатов с дефолтными паролями?

yoghurt ★★★★★ ()
Ответ на: комментарий от yoghurt

Неужели в открытых сетях в продакшне так много томкатов с дефолтными паролями?

Бывает и частенько.

sT331h0rs3 ★★★★★ ()
Ответ на: комментарий от yoghurt

у половины крупных контор в рашке логин и пароль AD admin 12345678 ,поэтому чему ты удивляешься?

erzent ☆☆ ()
Ответ на: комментарий от yoghurt

... дефолтными паролями

вся проблема в этих самых «дефолтах».

правду говорят: «сделай систему, которой сможет пользоватся даже идиот, и только идиот и будет ею пользоваться».

anonymous ()
Ответ на: комментарий от Bagrov

Вредоносное ПО поражает серверы приложений на базе Apache Tomcat, используя для проникновения метод подбора паролей.

kerneliq ★★★★★ ()

Никогда ещё не видел просто томкет, торчащий в пространство. Он идёт или как часть сервера приложений, либо через «просто апач» с каким-нибудь proxyPass

GblGbl ★★★★★ ()
Ответ на: комментарий от anonymous

с другой стороны, еще не придумали такой защиты, которую не «сломали» бы идиоты.

anonymous ()
Ответ на: комментарий от GblGbl

Никогда ещё не видел просто томкет, торчащий в пространство. Он идёт или как часть сервера приложений, либо через «просто апач» с каким-нибудь proxyPass

начитанный идиот гораздо опаснее обыкновенного...

anonymous ()
Ответ на: комментарий от erzent

Для AD как раз обычно чаще используют более сложные пароли, а вот для всяких томкатов частенько оставляют простые, ИМХО.

sT331h0rs3 ★★★★★ ()
Ответ на: комментарий от sT331h0rs3

если бы,у меня у знакомой с сбере такой пароль прокатил даже....

erzent ☆☆ ()
Ответ на: комментарий от sergei9

Это же мягко говоря не правильно и мягко говоря печально ....

svsd_val ()

Айфон макскома опасносте!

Adjkru ★★★★★ ()

И что в этом интересного? По сети гуляют миллионы грустных ботов, стучащихся в 22 порт и производящие попытку «атаки».

anonymous ()
Ответ на: комментарий от svsd_val

Что-то может быть печальнее опечаленых школьнеков на лоре?

anonymous ()

ЛОР в опасности! Все в машину!

anonymous ()

Атака строится на переборе тривиальных паролей для типовых логинов, например, «admin:admin», «tomcat:password» и т.п.

Так не интересно. Вот если бы они сообща пороли перебирали, чтобы избежать бана...

DNA_Seq ★★★☆☆ ()

Tomdep не привязан к конкретным платформам и поражает Tomcat-серверы на базе Linux, OS X, Solaris и Windows

«Написано один раз, - работает везде»))))

k0valenk0_igor ★★ ()
Ответ на: комментарий от erzent

Уязвимость тривиальна, но как ты людей пропатчишь, что бы её убрать?

ForwardToMars ()
Ответ на: комментарий от erzent

выложили бы на лор этот вирус

А LOR попрежнему на Tomcat крутится? Может админы прикрепят червя? (Заразиться то невозможно) Мы понаблюдаем :)

vada ★★★★★ ()
Ответ на: комментарий от ForwardToMars

но как ты людей пропатчишь, что бы её убрать?

нужно сделать «защиту от дурака».. собрать файл с самыми дурацкими паролями [включая «admin1», «admin2» и «Admin111»] и программно запретить их к использованию :-)

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от vada

не имеется ввиду выложили бы исходники этого червя.

erzent ☆☆ ()
Ответ на: комментарий от erzent

А что там такого уникального? Сам за пол дня напишешь.

vada ★★★★★ ()
Ответ на: комментарий от anonymous

Нубьё которое везде лезет ничего не понимает и везде всё обсЁрает, то не эдак и эдак не так и вообще ваш лин х..я - вот это реально печально, таких становится всё больше....

svsd_val ()
Ответ на: комментарий от vada

Угу согласен, червя в студию, покурим, посмотрим, посмеёмся ^_^

svsd_val ()

Под линукс вирусов нет!

anonymous ()
Ответ на: комментарий от svsd_val

Угу согласен, червя в студию, покурим, посмотрим, посмеёмся ^_^

эт тогда нам лучше — взять специальных мозговых червячков, которые ласкают «мамиллярные тела» внутри «гипоталамуса» :D :D

...если конечно такие червячки в природе бывают :)

user_id_68054 ★★★★★ ()
Ответ на: комментарий от user_id_68054

которые ласкают «мамиллярные тела» внутри «гипоталамуса»

Ты сейчас с кем разговаривал?

vada ★★★★★ ()
Ответ на: комментарий от vada

блин.. разве я сейчас нахожусь не на том форуме где обсуждают червячков? :)

user_id_68054 ★★★★★ ()

Все что-то пишут про вирусы в линуксе, но никто их в глаза не видел. Прямо как про НЛО разговорчики...кто-то где-то видел, а где оно - хрен его знает))).

Desmond_Hume ★★★★ ()
Ответ на: комментарий от Desmond_Hume

но никто их в глаза не видел

это всё потому что антивирусы на компьютерах не установлены :D ..[которые пищат при виде вируса — звуком умирающей-от-ножа свиньи]

user_id_68054 ★★★★★ ()
Ответ на: комментарий от user_id_68054

Дык в том-то и дело), что в среде линукс они не пашут, а просто сидят как какашки на поле, как пойдешь в среду венды - так сразу вляпаешься). Но, ключевой-то момент тут: в среде линукс - это мусор, сидящий себе тихо в траве и никого не трогающий)))

Desmond_Hume ★★★★ ()
Ответ на: комментарий от user_id_68054

И, кстати, хорошо, что венда не видит разделы линукса))) - это её счастье))

Desmond_Hume ★★★★ ()
Ответ на: комментарий от user_id_68054

звуком умирающей-от-ножа свиньи

Э! Э! Здесь про червяков! :)

vada ★★★★★ ()
Ответ на: комментарий от Desmond_Hume

хорошо, что венда не видит разделы линукса

Неудачники :)

vada ★★★★★ ()
Ответ на: комментарий от vada

Э! Э! Здесь про червяков! :)

ну это потому что я предполагаю что если бы свинья умирала бы от тех червячков которые мы тут обсуждаем [а не от ножа] — то наверное бы она издавала бы не этот пронзительный крик, а смешное хихиканье :)

user_id_68054 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.