和往常一样通过网页访问进入tomcat管理页面
在路径上多了三个未知用途的三个项目,刚开始还以为是朋友上的
看了项目名是数字加字母组合 没有实际意义 不符合开发习惯,心里就比较警惕了
因为服务器上什么都没放 也没关心安全方面管控 没想到就翻车了。
翻看tomcat calalina日志 项目是从1月1日上传
找到对应的访问日志 攻击从中午12点开始 未知IP多次连续访问/manager路径
在5次401过后破解密码(我用的是默认的)上传木马后多次访问木马路径
应该是在浏览webapps目录 有没有浏览计算机目录未知
直到18点结束 应该是发现上面空空如也就放弃了 连传上来的项目都没删-_-|| 真是不好意思
做了如下应对:
1.更改管理员账号密码
2.改变tomcat端口(默认的8080经常被别有用心的扫描工具扫到) 关闭8080端口
3.删除tomcat默认主页,更改manager访问路径
这样应该可以防止一般的扫描工具入侵
其次还有常见的注入式攻击 下次遇到再分享
