by-小世界
http://redcisco.blog.163.com
实战背景:
和几乎所有的入侵一样,攻击者对Tomcat的入侵也是从扫描开始的。现在网络上针对Tomcat的扫描工具如雨后春笋般冒出来,一般的用户极易获得。并且其中的有些工具可以进行关键词搜索扫描,攻击者输入相应关键词就可以实施对某类Tomcat站点进行扫描入侵。
扫描的原理非常简单,因为Tomcat默认是通过8080端口对外提供Web服务的。这些工具就直接扫描网络中开启了8080端口的主机,并且其可以过滤开放8080端口的Web防火墙,缩小攻击范围。利用扫描工具攻击者不但能够获得开启了8080端口的Tomcat服务器的IP地址,还可以扫描自动猜解弱口令。
login as: root
root@x.x.x.x's password:
Last login: Mon Mar 24 19:45:56 2014 from x.x.x.x
Welcome to aliyun Elastic Compute Service!
[root@个人阿里云服务器代号 ~]# cd /data0/
[root@个人阿里云服务器代号 data0]# ll
drwxr-xr-x 4 root root 4096 Mar 7 19:19