Symantec ha identificado que los servidores que ejecutan Apache Tomcat están siendo afectados por un gusano backdoor (puerta trasera) que actúa como Java Servelet; en vez de crear una página web, se comporta como un bot de IRC que recibe comandos del atacante.
http://news.softpedia.com/images/news-700/Apache-Tomcat-Servers-Targeted-by-Self-Replicating-Malware.png
Los usuarios que visiten las páginas del servidor comprometido no sufren ningún peligro, porque la amenaza (Java.Tomdep) está diseñada para escanear e infectar a otros servidores de Tomcat.
Su conexión a otros servidores se logra mediante la inserción de algunos nombres de usuario y contraseñas débiles como “admin:admin”, “tomcat:tomcat”, “admin:password” o una combinación de estas cosas.
Debido a este tipo de comportamiento, los investigadores de Symantec creen que el propósito final del hacker es lanzar ataques DdoS. Además, la empresa afirma que los comandos y servidores de control parecen localizarse en Taiwán y Luxemburgo.
Symantec informa que la protección antivirus no es tan común para los servidores como para los ordenadores personales y recomienda a los administradores utilizar herramientas de seguridad actualizadas y totalmente parcheadas.
http://news.softpedia.es/Servidores-de-Apache-Tomcat-son-atacados-por-un-malware-autoreplicante-402580.html