转载地址:http://blog.csdn.net/ljwhx2002/article/details/5972406
你的应用服务器是tomcat么?那你得注意下了
这些天我的tomcat目录下莫名其妙的多了个war文件,里面内容只有一个index.jsp, 当时很疑惑,谁传上去的?能控制服务器权限的团队里就我和nick,都没传过。 出于好奇,我把这个jsp弄到了我本地,一看内容,哇塞,天哪,这是个资源管理器的功能,能控制机器上所有文件操作。显然,被入侵了
幸好还没有杯具,我们也有一招,虽然war被弄在webapp下了,可是入侵者无法访问这个url呵呵,也是碰巧的事情,apache和tomcat整合的,只开放了部分的url。8080端口我们是关闭的。幸灾乐祸了,兴奋的是学了一招,真是多谢这个入侵的哥们了。以前几个公司都没考虑过这样的事情, 今天就公开下,把入侵的原理和方案告诉大家:
1,tomcat默认有个manager的管理后台app,密码存放在conf/tomcat-users.xml里面。如果你的tomcat是外网开放的,那么这个manager服务也是开放的,http://你的主机:端口/manager/html 可以看看是不是通的
入侵者根据此服务,使用暴力破解口令的工具(这种工具很多,我就不提了,百度一大把),manager口令被破解后,可以进入tomcat管理后台,放置并部署一个war
2,这个war目录名可能是随机的,入侵者主要是利用war可热部署,然后再访问http://你的主机地址:端口/入侵者放置的目录名
这样就执行入侵者的那个应用了!!!
3,解决方案
如果你看到你的webapp下也多了莫名其妙的目录,
1)马上停止tomcat 2)确定是入侵文件后马上删除或转移到其它临时目录 3)修改conf/tomcat-user.xml 里的密码, 要设置复杂一些
4)如果manager服务可以不用最好停止,移除app即可 5)为了以防万一最好给tomcat的owener设置权限只能操作部分目录,不要直接使用root。
6)清理一下tomcat的缓存 work目录下,再启动。
7)如果没有必要热部署,把conf/server.xml 中的autoDeploy改成false,这样webapp目录下的应用不会自动部署。 可改用指定目录的方式部署。
1068
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
