Debian 通過 Tomcat 管理器被黑

Tomcat 安裝完成後，甚至在我更改預設的 Tomcat Manager 密碼之前，攻擊者就使用 Tomcat Manager 部署了自己的軟體。可能是一些 DDOS 工具和文件管理器。

我已經刪除了可疑的 java 軟體，更改了所有使用者密碼。不允許通過 ssh 進行 root 登錄。

我現在如何採取行動以確保伺服器安全？

我需要檢查什麼？如何追踪任何其他可疑活動？

我會回答你的第一個問題：

我現在如何採取行動以確保伺服器安全？

如果你能幫助它，甚至不要試圖清理它。只需重新安裝作業系統，這一次設置防火牆規則，阻止對 Tomcat 管理器的訪問，除了您目前的 IP 地址。更好的是阻止除 SSH 之外的所有內容並通過隧道進入伺服器，然後通過隧道訪問 Tomcat 管理器。

我認為您還應該通讀Tomcat Manager Setup的文件。

引用自：https://serverfault.com/questions/605895