最近用tomcat做一些开发和学习,由于不是生产环境,所以安全设置随便了些,没想到遭到了攻击。把这段亲身经历写下来,以供自己和大家参考!安全问题不能松懈啊
1 受害主机软硬件环境
受害主机操作系统为CentOS6, 装有Tomcat7运行环境,为方便开发调试,打开了Tomcat自带的manager管理功能。
2 入侵日志分析
Tomcat开启服务为2012年7月18日,由于端口号设置的比较隐蔽,所以直到2012年9月13日开始被一些扫描软件扫到,见日志如下:
1 58.42.245.132 - - [13/Sep/2012:06:41:52 +0800] "GET /manager/html HTTP/1.1" 401 2486
2 58.42.245.132 - - [13/Sep/2012:06:41:52 +0800] "GET /manager/html HTTP/1.1" 401 2486
3 58.42.245.132 - - [13/Sep/2012:06:41:52 +0800] "GET /manager/html HTTP/1.1" 401 2486
4 58.42.245.132 - - [13/Sep/2012:06:41:52 +0800] "GET /manager/html HTTP/1.1" 401 2486
5 58.42.245.132 - - [13/Sep/2012:06:41:52 +0800] "GET /manager/html HTTP/1.1&#