JSP-Backdoor breitet sich sehr leicht aus

Die von der Sicherheitsfirma Trend Micro entdeckte Backdoor BKDR_JAVAWAR.JG treibt aktuell auf Java-basierten Webservern ihr Unwesen. Funktional ähnelt die Backdoor den gängigen PHP-Backdoors, besser bekannt als PHP Web Shells. Wenn sie aktiv ist, verschafft sie seinem Absender Zugriff auf den Zielserver. Wenn zusätzlich ein schwaches Kennwort verwendet wurde, kann sich der Angreifer sehr bald mit Admin-Rechten einloggen und Daten nach Belieben löschen, kopieren oder manipulieren.

Der Hacker nutzt BKDR_JAVAWAR.JG über eine infizierte Java Server Page (JSP), die ihm ein bequemes Interface für Datei-Upload und Befehlseingabe liefert. Die dafür nötigen Dateien geraten oft mit anderer Malware auf den Zielrechner. Ein zweiter Weg ist der über den Tomcat Web Application Manager: Gelingt es dem Angreifer, hier ein Web-Archiv (WAR) etwa als trojanisches Pferd zu übertragen, kann sich die Backdoor umgehend installieren.

Als Maßnahme wird zu vollständigen Updates des Systems geraten. Zusätzlich ist die Verwendung langer, starker Passwörter ein probates Mittel, um Bruteforcing zu erschweren.