Nieuwe worm richt zich uitsluitend op Apache Tomcat-webservers
Een nieuwe worm richt zich specifiek op servers die op de open-source webserver Apache Tomcat draaien. De malware heeft inmiddels servers in ieder geval negen verschillende landen besmet.
De Tomcat-worm is ontdekt door onderzoekers van Symantec, die de malware de naam Java.Tomdep hebben gegeven. De worm is in tegenstelling tot veel andere op servers gerichte malware niet geschreven in PHP, wat dan ook opvallend is. Java.Tomdep is een Java Servlet die zich gedraagt als een IRC-bot.
Taiwan en Luxemburg
Symantec heeft de command & control-servers die worden gebruikt om de malware en daarmee besmette webservers te besturen getraceerd naar Taiwan en Luxemburg. De malware richt zich alleen op het besmetten van andere Tomcat-servers. Gebruikers die een website bezoeken die gehost is op een besmette server lopen dan ook geen gevaar.
Java.Tomdep probeert toegang te krijgen tot Apache Tomcat-servers door de gebruikersnamen en wachtwoorden van de servers te kraken. Vooral servers die zijn voorzien van een zwak wachtwoord lopen dan ook risico. Symantec adviseert beheerders daarom als tegenmaatregel een sterk wachtwoord te kiezen om het voor de malware lastiger te maken toegang te krijgen tot het de webserver. Daarnaast raadt Symantec aan de beheerpoort niet open te laten staan voor publieke toegang.
Antivirus software
Ook zouden beheerders antivirus software op hun webservers moeten installeren en deze volledig up-to-date houden. Symantec waarschuwt dat veel webservers op dit moment niet zijn voorzien van dergelijke beveiligingssoftware. Het beveiligingsbedrijf hoopt dan ook dat het relatief lage aantal besmetting in werkelijk niet veel hoger ligt doordat veel webservers ongemerkt besmet zijn.
