後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器
類似BKDR_JAVAWAR.JG的惡意軟體證明了網頁伺服器也會是網路犯罪份子的目標,可以被用來儲存重要資料,也可以在不知情使用者連上這些受影響網站時,輕易地去感染他們的系統。
趨勢科技最近發現到一個Java伺服器網頁出現後門程式行為的BKDR_JAVAWAR.JG,並且控制有漏洞的伺服器。這惡意軟體可能是經由某惡意網站的檔案下載,或是被其他惡意軟體所植入。
這攻擊要得逞,目標系統必須是Java Servlet容器(像是Apache Tomcat),或是Java-based的HTTP伺服器。另一個可能是當攻擊者檢查到採用Apache Tomcat的網站時,就會試圖存取Tomcat Web應用程式管理員。
利用密碼破解工具,網路犯罪份子可以登錄並獲得管理權限,能夠佈署包含後門程式的Web應用程式包(WAR)到伺服器。這後門程式會自動地被加入可存取的Java伺服器網頁。要執行動作,攻擊者可以連到Java伺服器網頁的下列路徑:
{Tomcat Webapps目錄內的子目錄}/{惡意軟體名稱}
一旦完成,就可以透過下面的網頁主控台來利用這後門程式進行瀏覽、上傳、編輯、刪除、下載或從受感染系統複製檔案:
也可以利用這網頁主控台來遠端輸入命令列指令:
攻擊者可以透過網頁主控台來查看系統資訊、程式版本、安裝和重要目錄資訊:
除了能夠存取敏感資訊,攻擊者可以透過這後門程式來控制受感染系統,在這有漏洞的伺服器上進行更多惡意指令。
使用者可以做些動作來避免這一威脅。首先,使用者要定期更新軟體廠商所發佈的安全 更新,來防止針對軟體漏洞的惡意攻擊。另外就是不要訪問不明網站,將可信任的網站加入書籤。最後,使用者應該要建立強密碼以防範密碼破解工具。要了解更多有關如何建立優良密碼的作法,可以參考我們的常見問答集 – 你的密碼可以通過考驗嗎?
主動式雲端截毒服務 Smart Protection Network可以在受感染系統上偵測和刪除BKDR_JAVAWAR.JG,保護使用者免於此威脅。
@原文出處:Backdoor Disguised as Java Server Page Targets Web-hosting Servers
◎延伸閱讀
密碼管理 e 指通,再多的密碼也不用記小抄(含七個密碼帳號管理小秘訣)
從 Yahoo 被駭事件,看如何降低線上服務資料外洩,對你帳號密碼的衝擊?(含歷年最駭密碼一覽表)
關於密碼千萬不要做的四件事與密碼設定小秘訣 你可能沒想過的密碼保護秘訣 106個黑莓機列入不得使用的蠢密碼(含 19 個男女英文名字)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊
