全站文章 iT邦幫忙
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號密碼
聯絡客服
訂閱周刊
讀者服務
13' E政府專刊no.7(48)
13' iTcloud No.3(47)
12' E政府專刊no.6(46)
12' 個資法專刊No2(45)
12' iTcloud No.2(44)
12' e政府專刊No.5(43)
12' 個資法專刊(42)
11' CIO專刊(41)
11' e教育專刊No.3 (40)
11' e政府專刊No.4 (39)
11'iTcloud專刊(38)
10' e教育專刊No.2 (37)
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
Tomcat伺服器首度成為攻擊鎖定目標,臺灣公務機關淪為駭客指揮中心
文/黃彥棻 (記者) 2013-12-17
分享到facebook
美洲、歐洲及亞洲等10國皆遭受攻擊

攻擊Apache Tomcat的後門程式特徵
  • 以Java程式語言的Java
  • Servlet寫成後門程式,非常見的PHP
  • 主要攻擊針對Apache Tomcat網站伺服器
  • 透過IRC(網路聊天室)接收駭客攻擊指令
  • 駭客利用受駭電腦發動DDoS攻擊
  • 受駭伺服器位於巴西、中國、義大利、日本、南韓、新加坡、瑞典、臺灣、美國和越南等10國
  • 操控受駭電腦的C&C(命令與控制)伺服器則位於臺灣和盧森堡
  • 位於臺灣的命令與控制伺服器,其IP位址來自公務機關
資料來源:賽門鐵克,2013年12月
資安公司賽門鐵克日前在其官方部落格表示,近期發現開源網站伺服器Apache Tomcat伺服器,遭到一款跨平臺後門程式鎖定,後門程式入侵網站伺服器後,透過IRC(網路聊天室)接收駭客攻擊指令,並成為發動DDoS的傀儡電腦。

目前發現,巴西、中國、義大利、日本、南韓、新加坡、瑞典、臺灣、美國和越南等10國,都出現受駭的伺服器,而操控這些受駭伺服器的C&C(命令與控制)伺服器則位於臺灣和盧森堡。

臺灣賽門鐵克資深技術顧問張士龍表示,這是首度發現後門程式針對跨平臺Apache Tomcat伺服器發動攻擊,進一步追查發現,位於臺灣的C&C伺服器來自於公務機關。行政院資通安全辦公室主任蕭秀琴表示,技服中心已經接獲相關的通報,日前已經開始著手進行相關的處理。

以Java Servlet撰寫的後門程式,針對網站伺服器發動攻擊
賽門鐵克日前發現一支以Java程式語言的Java Servlet寫成後門程式,並命名為Java.Tomdep.。賽門鐵克指出,一般的惡意程式或後門程式,經常以PHP語言撰寫,少見用Java Servlet撰寫,此後門程式更鎖定網站伺服器做為主要攻擊對象。

張士龍表示,常見的惡意程式主要目的是入侵個人電腦,並藉此操控受駭電腦,遠端遙控並發動各種網路攻擊;至於後門程式主要的目的則是,專門從受駭電腦的系統中,蒐集各種主機資訊,例如:作業系統名稱與版本、電腦架構、本地和全球IP位址、主機名稱等。他說,後門程式雖然常泛指為惡意程式,但攻擊細節仍有不同。

一般的網站使用者,若只是單純瀏覽被植入Java.Tomdep.的Apache Tomcat網站的網頁時,其實並不會受駭,但張士龍指出,只要使用者執行各種指令或動作,包括標準的上傳、下載、建立新的程序、SOCKS代理、自動更新等,駭客就會趁機將該後門程式植入正在瀏覽受駭網站的電腦中,藉此控制該臺電腦。

除了因為執行上述各種指令而被植入後門程式外,受駭電腦也會自動掃描其他Apache Tomcat伺服器,一旦網路上其他開源網站伺服器使用脆弱的帳號和密碼,原本的受駭電腦就可以利用脆弱的帳號密碼入侵,並傳送Java.Tomdep.這個後門程式到另外一臺Apache Tomcat伺服器中。他說,當駭客控制這些網站伺服器時,就可以進一步可以發動類似DDoS攻擊的UDP Flooding攻擊。

發動攻擊的C&C伺服器IP來自臺灣公務機關
賽門鐵克表示,針對這個惡意程式下達各種攻擊指令的C&C伺服器,主要位於臺灣和盧森堡兩個國家。張士龍表示,根據內部的調查資料顯示,這個位於臺灣的C&C伺服器,其IP位址來自於公務機關。

他說,當政府公務機關的網站,淪為駭客控制其他受駭電腦的C&C伺服器時,也意味著政府機關在網站伺服器的防護上出現了很大的漏洞,而當這個C&C伺服器的網站IP位址,成為各家防毒業者拒絕連網的黑名單時,公務機關也無法持續提供應有的網站服務,對於民眾以及所有的網路使用者,都會造成負面影響。

蕭秀琴表示,政府部門接獲相關的通報後,已經委由技服中心展開後續的清理作業,確保公務機關網站伺服器的安全性。

目前遭受到Java.Tomdep.後門程式攻擊的網站伺服器,位於歐洲、美洲與亞洲等10個國家,張士龍指出,以往沒有看過這類可以攻擊跨平臺Apache Tomcat伺服器的手法,目前研判這類攻擊手法仍在發展的初期。

因為受駭伺服器會自動對外發動攻擊,張士龍建議,許多企業必須提高網站伺服器端的資安防護機制,所有Apache Tomcat網站伺服器仍應落實弱點更新,安裝伺服器版的防毒軟體,同時強化網站伺服器的帳號與密碼管理,並且不提供任何公開存取管理的通訊埠,以確保網站伺服器的安全性。文☉黃彥棻

分享到facebook

2014資安趨勢研討會
更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

電週文化事業版權所有、轉載必究 •Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome