[ANA事件單通知]Java.Tomdep惡意程式警訊

教育機構ANA通報平台

發佈編號 發佈時間
事故類型 攻擊活動預警 發現時間 2013-12-03 08:30:36
影響等級    
[主旨說明:][更新] Java.Tomdep惡意程式警訊
[內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 
ICST-ANA-2013-0024技服中心近日接獲外部消息指出,
Apache Tomcat伺服器存在惡意程式Java.Tomdep威脅。
該惡意程式一旦執行,將使攻擊者透過IRC通訊協定執行命令並控制受害者主機,
並利用掃描Apache Tomcat預設管理介面弱密碼對外進行擴散,
導致受害者成為殭屍電腦的一員。 
目前已知有相關攻擊導致用戶資訊設備疑似為C&C中繼站,請機關多加留意。 

參考說明如下:
http://www.symantec.com/connect/blogs/all-your-tomcat-are-belong-bad-guys 

並注意此攻擊活動是否發生。
[影響平台:]
Apache Tomcat 

[建議措施:]

1.Java.Tomdep由Java Servlet撰寫而成,請檢查網站目錄中是否出現異常檔案。

若確認該資訊設備已遭入侵,建議重新安裝作業系統,並注意須安裝至最新修補程式,

亦建議更換系統使用者之相關密碼。若暫時未發現異常行為,建議持續觀察一個星期左右。


2.注意個別系統之安全修補,包含作業系統與辦公室常用文書處理軟體,

若僅移除惡意程式而不修補,再次受相同或類似攻擊的機率極高。

修補程式須持續更新,Windows 自動安裝更新程式機制可參考微軟資訊安全錦囊。

Linux 系統可使用 yum 或 apt 等更新機制。

若您所使用的作業系統已不再提供更新程式,建議升級至較新版本作業系統。


3.這類型的惡意程式主要攻擊 Tomcat的管理介面,使用的手法使用弱密碼進行攻擊,

系統上所有帳號需設定強健的密碼,非必要使用的帳號請將其刪除或停用。

系統上非必要的服務程式亦建議移除或關閉。


4.安裝防毒軟體並更新至最新病毒碼,並注意病毒碼須持續更新,最好能採用自動更新機制。


5.檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。


6.若無防火牆可考慮安裝防火牆或於 Windows 平台使用 Windows XP/2003 內建之

Internet Firewall/Windows Firewall或 Windows 2000 之 TCP/IP 篩選功能。

Linux 平台可考慮使用 iptables 等內建防火牆

[參考資料:]
http://www.symantec.com/connect/blogs/all-your-tomcat-are-belong-bad-guys如果您對此通告的內容有疑問或有關於此事件的建議,請勿直接回覆此信件,請以下述聯絡資訊與我們連絡。國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)地 址: 台北市富陽街116號聯絡電話: 02-27339922傳真電話: 02-27331655電子郵件信箱: service@icst.org.tw