No meu fizeram a cagada de expor nosso servidor tomcat (versão 6.0.18) de desenvolvimento para internet. Como o servidor só é usado internamente, não existe nenhuma preocupação com segurança, ou seja, as senhas e usuários estavam com valor default (admin/admin) além do tomcat manager estar instalado.
Resultado que foram se instalaram vírus dentro do nosso tomcat. Uma aplicação (2008.war) que permite criar e fazer upload de outras aplicações dentro do tomcat e, provavelmente usando esta, se instalaram outras duas.
Por sorte usamos linux, e este vírus pelo que li neste tópico só se manifesta no Windows e baixa uma série de malwares no pc.
Então, fica a dica. Não cometa o mesmo erro que nós. Antes de expor o tomcat na internet remova o manager e exclua todos os usuário do tomcat-users.xml. Para quem usa o lambdaprobe, acho que é melhor não manter este instalado também, pois ele exige uma série de privilégios dentro do tomcat. Proncipalmente se usa servidor Windows!!
Anexei aqui as aplicações maliciosas que foram intaladas no tomcat, caso alguém queira analisar melhor o que elas fazem.
Há um tópico no Nabble que discute sobre este hack também.
Valeu!
Andrey.
