Tomcat伺服器首度成為攻擊鎖定目標，臺灣公務機關淪為駭客指揮中心

攻擊Apache Tomcat的後門程式特徵

資料來源：賽門鐵克，2013年12月

資安公司賽門鐵克日前在其官方部落格表示，近期發現開源網站伺服器Apache Tomcat伺服器，遭到一款跨平臺後門程式鎖定，後門程式入侵網站伺服器後，透過IRC（網路聊天室）接收駭客攻擊指令，並成為發動DDoS的傀儡電腦。

目前發現，巴西、中國、義大利、日本、南韓、新加坡、瑞典、臺灣、美國和越南等10國，都出現受駭的伺服器，而操控這些受駭伺服器的C&C（命令與控制）伺服器則位於臺灣和盧森堡。

臺灣賽門鐵克資深技術顧問張士龍表示，這是首度發現後門程式針對跨平臺Apache Tomcat伺服器發動攻擊，進一步追查發現，位於臺灣的C&C伺服器來自於公務機關。行政院資通安全辦公室主任蕭秀琴表示，技服中心已經接獲相關的通報，日前已經開始著手進行相關的處理。

以Java Servlet撰寫的後門程式，針對網站伺服器發動攻擊
賽門鐵克日前發現一支以Java程式語言的Java Servlet寫成後門程式，並命名為Java.Tomdep.。賽門鐵克指出，一般的惡意程式或後門程式，經常以PHP語言撰寫，少見用Java Servlet撰寫，此後門程式更鎖定網站伺服器做為主要攻擊對象。

張士龍表示，常見的惡意程式主要目的是入侵個人電腦，並藉此操控受駭電腦，遠端遙控並發動各種網路攻擊；至於後門程式主要的目的則是，專門從受駭電腦的系統中，蒐集各種主機資訊，例如：作業系統名稱與版本、電腦架構、本地和全球IP位址、主機名稱等。他說，後門程式雖然常泛指為惡意程式，但攻擊細節仍有不同。

一般的網站使用者，若只是單純瀏覽被植入Java.Tomdep.的Apache Tomcat網站的網頁時，其實並不會受駭，但張士龍指出，只要使用者執行各種指令或動作，包括標準的上傳、下載、建立新的程序、SOCKS代理、自動更新等，駭客就會趁機將該後門程式植入正在瀏覽受駭網站的電腦中，藉此控制該臺電腦。

除了因為執行上述各種指令而被植入後門程式外，受駭電腦也會自動掃描其他Apache Tomcat伺服器，一旦網路上其他開源網站伺服器使用脆弱的帳號和密碼，原本的受駭電腦就可以利用脆弱的帳號密碼入侵，並傳送Java.Tomdep.這個後門程式到另外一臺Apache Tomcat伺服器中。他說，當駭客控制這些網站伺服器時，就可以進一步可以發動類似DDoS攻擊的UDP Flooding攻擊。

發動攻擊的C&C伺服器IP來自臺灣公務機關
賽門鐵克表示，針對這個惡意程式下達各種攻擊指令的C&C伺服器，主要位於臺灣和盧森堡兩個國家。張士龍表示，根據內部的調查資料顯示，這個位於臺灣的C&C伺服器，其IP位址來自於公務機關。

他說，當政府公務機關的網站，淪為駭客控制其他受駭電腦的C&C伺服器時，也意味著政府機關在網站伺服器的防護上出現了很大的漏洞，而當這個C&C伺服器的網站IP位址，成為各家防毒業者拒絕連網的黑名單時，公務機關也無法持續提供應有的網站服務，對於民眾以及所有的網路使用者，都會造成負面影響。

蕭秀琴表示，政府部門接獲相關的通報後，已經委由技服中心展開後續的清理作業，確保公務機關網站伺服器的安全性。

目前遭受到Java.Tomdep.後門程式攻擊的網站伺服器，位於歐洲、美洲與亞洲等10個國家，張士龍指出，以往沒有看過這類可以攻擊跨平臺Apache Tomcat伺服器的手法，目前研判這類攻擊手法仍在發展的初期。

因為受駭伺服器會自動對外發動攻擊，張士龍建議，許多企業必須提高網站伺服器端的資安防護機制，所有Apache Tomcat網站伺服器仍應落實弱點更新，安裝伺服器版的防毒軟體，同時強化網站伺服器的帳號與密碼管理，並且不提供任何公開存取管理的通訊埠，以確保網站伺服器的安全性。文⊙黃彥棻