Debian

Debian 通過 Tomcat 管理器被黑

  • January 22, 2015

Tomcat 安裝完成後,甚至在我更改預設的 Tomcat Manager 密碼之前,攻擊者就使用 Tomcat Manager 部署了自己的軟體。可能是一些 DDOS 工具和文件管理器。

我已經刪除了可疑的 java 軟體,更改了所有使用者密碼。不允許通過 ssh 進行 root 登錄。

我現在如何採取行動以確保伺服器安全?

我需要檢查什麼?如何追踪任何其他可疑活動?

我會回答你的第一個問題:

我現在如何採取行動以確保伺服器安全?

如果你能幫助它,甚至不要試圖清理它。只需重新安裝作業系統,這一次設置防火牆規則,阻止對 Tomcat 管理器的訪問,除了您目前的 IP 地址。更好的是阻止除 SSH 之外的所有內容並通過隧道進入伺服器,然後通過隧道訪問 Tomcat 管理器。

我認為您還應該通讀Tomcat Manager Setup的文件。

引用自:https://serverfault.com/questions/605895