我有一个带有Tomcat 7.0.42的web应用程序。我最近在我的服务器上发现了我没有上传的文件。这些黑客文件允许任何人在我的服务器上创建文件。
我真的很想弄清楚他们是如何访问我的服务器的。在我的web应用程序中,我有一个与用户交互的表单,但所有字段都受到正则表达式的限制,我使用准备好的语句来处理数据库。
此外,我上传了一个只显示信息的网络应用程序版本,我删除了所有表单,不允许与用户进行任何类型的交互。我还更改了密码。但是文件仍然出现
我想讨论可能的漏洞和解决方案:
- 一旦我上传了我的战争,是否删除tomcat webapps文件夹的写入权限
- 我的代码可能已损坏吗
任何帮助都将不胜感激,提前感谢!
正如Mark所指出的,进入Tomcat服务器的最简单方法是使用一周或默认密码访问Tomcat Manager。
请确保它不是公开的,您有一个强密码,并检查您的JSP代码是否存在web漏洞。
一旦你被黑客入侵,你可能已经被后门了,要么是代码级别的,要么是服务器中的一些rootkit。检查你的网络日志,最近执行了哪些命令,并IMHO一个"rm-rf/"以确保所有内容都被删除。
伊格纳西奥。
尝试阅读Tomcat安全文档http://tomcat.apache.org/tomcat-7.0-doc/security-howto.html
首先检查Manager应用程序是否存在,以及您是否为该应用程序配置了弱密码用户。
查看访问日志通常是我的下一个调用端口。
正如@Grimby正确指出的那样,Tomcat可能不是他们进入的方式。