和往常一樣通過網(wǎng)頁訪問進入tomcat管理頁面
在路徑上多了三個未知用途的三個項目赋咽,剛開始還以為是朋友上的
看了項目名是數(shù)字加字母組合 沒有實際意義 不符合開發(fā)習慣拉鹃,心里就比較警惕了
因為服務(wù)器上什么都沒放? 也沒關(guān)心安全方面管控 沒想到就翻車了。
翻看tomcat calalina日志 項目是從1月1日上傳?
找到對應(yīng)的訪問日志? 攻擊從中午12點開始? 未知IP多次連續(xù)訪問/manager路徑
在5次401過后破解密碼(我用的是默認的)上傳木馬后多次訪問木馬路徑
應(yīng)該是在瀏覽webapps目錄? 有沒有瀏覽計算機目錄未知
直到18點結(jié)束? 應(yīng)該是發(fā)現(xiàn)上面空空如也就放棄了? 連傳上來的項目都沒刪-_-|| 真是不好意思
做了如下應(yīng)對:
1.更改管理員賬號密碼
2.改變tomcat端口(默認的8080經(jīng)常被別有用心的掃描工具掃到) 關(guān)閉8080端口
3.刪除tomcat默認主頁揭斧,更改manager訪問路徑
這樣應(yīng)該可以防止一般的掃描工具入侵
其次還有常見的注入式攻擊? 下次遇到再分享
