Er is een backdoor-worm ontdekt die webservers met Apache Tomcat infecteert en vervolgens andere servers probeert te besmetten. Tomcat is een opensource-webserver die Java servlets en JavaServer Pages (JSP) ondersteunt en door de Apache Software Foundation ontwikkeld is.

Backdoor-achtige malware die het op servers heeft voorzien wordt vaker ontdekt, maar volgens beveiligingsbedrijf Symantec verschilt de nu ontdekte malware met de naam Tomdep hiervan. Zo is Tomdep niet in PHP geschreven, zoals vaak het geval is, maar doet de malware zich voor als een Java Servlet. Een Java servlet is een webapplicatie die ondergebracht is in een JSP/servlet container.

DDoS-aanvallen

Zodra de kwaadaardige Java servlet wordt uitgevoerd opent die een backdoor en maakt verbinding met een IRC-server. Via IRC (Internet Relay Chat) kan de aanvaller opdrachten aan de besmette server geven. De infectie zou geen impact hebben voor de bezoekers van de websites die op de server draaien, aldus Symantec. Gezien de functionaliteit van de malware is die zeer waarschijnlijk voor het uitvoeren van DDoS-aanvallen ontwikkeld.

Daarnaast gebruikt Tomdep besmette servers ook om naar andere Tomcat-webservers te zoeken. Daar probeert het via zwakke gebruikersnamen en wachtwoorden in te loggen. In het geval dit succesvol is wordt de kwaadaardige Java servlet uitgevoerd en herhaalt de cyclus zich.

Het aantal waargenomen infecties is zeer beperkt, maar dit kan ook komen omdat veel servers geen anti-virussoftware gebruiken, waardoor het werkelijke aantal besmettingen onbekend blijft. Serverbeheerders krijgen het advies van Symantec om veilige wachtwoorden te kiezen en de managementpoort niet voor iedereen toegankelijk te maken.