» 遊客:  加入 | 登入 (帳號有問題請連絡TWed2k@gmail.com)


 


 TWed2k » 程式開發討論區 » [分享]Tomcat入侵攻防戰 RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 

 
主題: [Java&JSP] [分享]Tomcat入侵攻防戰   字型大小:||| 
ROACH
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
減肥中!請勿餵食

十週年紀念徽章(四級)  

 . 積分: 15119
 . 精華: 14
 . 文章: 11767
 . 收花: 140853 支
 . 送花: 6005 支
 . 比例: 0.04
 . 在線: 8870 小時
 . 瀏覽: 85616 頁
 . 註冊: 8210
 . 失蹤: 5
 . 鄉下地方
#1 : 2009-5-8 12:46 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (7) 引言回覆
最近因為工作需要
在公司架的一台Tomcat的Jsp伺服器
結果一接到網際網路的第七天就有駭客入侵的
我是後來想到當初的預設管理帳號好像沒改密碼..
去踹踹看!才發現事情的嚴重性
駭客已經上傳一個war的java檔上去
且這個外來的東西可以透過瀏覽器維護該電腦個各目錄各檔案
上傳檔案


怪只能怪我當初忘記改掉的...........
駭客是用什麼方式入侵呢

在Tomcat一裝好的時候,安裝程式會詢問您!管理員帳號admin密碼是否更改
如果那時候偷懶沒有更改的話
這樣tomcat就可以從管理介面進去
如下http://主機/manager/html
  輸入預設帳號admin 密碼空白



這樣就進去tomcat的管理介面
駭客可以利用上傳war功能來上傳這個java的封裝檔



有套java的目錄維護工具很方便可以維護電腦各目錄還有維護各檔案
方便到被駭客拿來上傳主機維護對方主機
(中間那個ye.war就是駭客上傳的,這個駭客算是初級版的,丟後門還大大方方的丟在那個目錄
也沒清乾淨,如果我是駭客~先用這工具上傳在佈置好另外其它的後門,再把這個檔案刪除
神不知鬼不覺)



既然知道駭客怎入侵的話
那就改密碼吧
編輯 C:\Tomcat\conf\tomcat-users.xml



裡面有段

  < user username="admin" password="" roles="admin,manager"/>

   我們可以把管理員帳號密碼整個改掉或把rols的權限拿掉manager 比方說改成   

   < user username="adminmisitserv" password="134qdwtr32d5g5" roles="admin"/>
   
要不然更狠的一點把管理介面整個刪除
刪除
C:\Tomcat\work\Catalina\localhost\manager  


順便一提
Tomcat裝好時有個預設首頁可以連到管理介面
首頁要拿掉要更改 C:\Tomcat\webapps\ROOT\WEB-INF\web.xml  
把底下這幾行加上註解符號 < ! --  -- >



< ! --

  < servlet>
        < servlet-name>org.apache.jsp.index_jsp
        < servlet-class>org.apache.jsp.index_jsp
    < /servlet>

    < servlet-mapping>
        < servlet-name>org.apache.jsp.index_jsp
        < url-pattern>/index.jsp
    < /servlet-mapping>
-- >



剛找到一篇文章是跟這個情況是一樣的
http://www.fuancn.cn/html/ServerSecurity/Other/20080711/2233.html

所以如果有人架Tomcat玩jsp的話!!請特別注意要把預設帳號密碼改掉阿

[ROACH 在  2009-5-8 12:54 PM 作了最後編輯]


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
ROACH
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
減肥中!請勿餵食

十週年紀念徽章(四級)  

 . 積分: 15119
 . 精華: 14
 . 文章: 11767
 . 收花: 140853 支
 . 送花: 6005 支
 . 比例: 0.04
 . 在線: 8870 小時
 . 瀏覽: 85616 頁
 . 註冊: 8210
 . 失蹤: 5
 . 鄉下地方
#2 : 2009-5-9 01:11 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (4) 引言回覆

引用:
embeddednode寫到:
嗯, 看起來你好像是作網管的!@@


錯!!我是程式設計師不是網管
我們公司有另外的網管部門

現在的程式設計師都哪啥都要懂
網管只要懂備份還原重開機就好........


只能深深的嘆一口氣


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
陽だまり
白銀驢友
等級: 15等級: 15等級: 15等級: 15等級: 15
ささらの可愛さは異常

 . 積分: 1330
 . 精華: 1
 . 文章: 3159
 . 收花: 10387 支
 . 送花: 26639 支
 . 比例: 2.56
 . 在線: 4508 小時
 . 瀏覽: 30308 頁
 . 註冊: 7436
 . 失蹤: 1444
 . 星の彼方
#3 : 2009-5-9 09:02 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆
MIS忙的話
連客服人員都要兼寫程式了
現在是一人當N人用的時代這樣

話說,TOMCAT那個應該不能算是漏洞吧


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
ROACH
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
減肥中!請勿餵食

十週年紀念徽章(四級)  

 . 積分: 15119
 . 精華: 14
 . 文章: 11767
 . 收花: 140853 支
 . 送花: 6005 支
 . 比例: 0.04
 . 在線: 8870 小時
 . 瀏覽: 85616 頁
 . 註冊: 8210
 . 失蹤: 5
 . 鄉下地方
#4 : 2009-5-9 10:21 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (6) 引言回覆

引用:
陽だまり寫到:
MIS忙的話
連客服人員都要兼寫程式了
現在是一人當N人用的時代這樣

話說,TOMCAT那個應該不能算是漏洞吧


我沒說是漏洞吧
那是個人疏失沒改密碼
所以一堆軟體裝好後
大家改密碼吧

很多人windows一裝好也都是密碼空白
反正帳號administrator密碼空白照樣進的去
這算漏洞嗎
這根本是大洞


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
陽だまり
白銀驢友
等級: 15等級: 15等級: 15等級: 15等級: 15
ささらの可愛さは異常

 . 積分: 1330
 . 精華: 1
 . 文章: 3159
 . 收花: 10387 支
 . 送花: 26639 支
 . 比例: 2.56
 . 在線: 4508 小時
 . 瀏覽: 30308 頁
 . 註冊: 7436
 . 失蹤: 1444
 . 星の彼方
#5 : 2009-5-9 11:42 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆

引用:
ROACH寫到:
我沒說是漏洞吧
那是個人疏失沒改密碼
所以一堆軟體裝好後
大家改密碼吧

很多人windows一裝好也都是密碼空白
反正帳號administrator密碼空白照樣進的去
這算漏洞嗎
這根本是大洞

不好意思…
我是指那個網站說的,不是ROACH兄說的

[陽だまり 在  2009-5-9 11:46 AM 作了最後編輯]


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
GERRYccc
名譽版主
等級: 8等級: 8
凹~~嗚~~^^y

今日心情

 . 積分: 103
 . 文章: 597
 . 收花: 497 支
 . 送花: 754 支
 . 比例: 1.52
 . 在線: 446 小時
 . 瀏覽: 7391 頁
 . 註冊: 8212
 . 失蹤: 103
 . ~@.@~ TWed2k 星球
#6 : 2009-5-9 03:08 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆
建議是把 web 根目錄改一下,換個位置,不要用預設的 webapp 內,
或是上線後將管理介面等內建的app移除或設定只能用本機連線。
只設密碼還是有被破的一天~


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Jackie
青銅驢友
等級: 11等級: 11等級: 11等級: 11


 . 積分: 223
 . 文章: 243
 . 收花: 1782 支
 . 送花: 903 支
 . 比例: 0.51
 . 在線: 1587 小時
 . 瀏覽: 3540 頁
 . 註冊: 6923
 . 失蹤: 2181
#7 : 2009-6-17 02:24 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆

引用:
ROACH寫到:
很多人windows一裝好也都是密碼空白
反正帳號administrator密碼空白照樣進的去
這算漏洞嗎
這根本是大洞

預設的情況下...
Windows空白的密碼應該是沒辦法從遠端登入...
至少我之前測試是這樣


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
dayi
開墾隊隊員
等級: 14等級: 14等級: 14等級: 14
ZeroX

十週年紀念徽章(五級)  

今日心情

 . 積分: 935
 . 文章: 2060
 . 收花: 7802 支
 . 送花: 2401 支
 . 比例: 0.31
 . 在線: 2821 小時
 . 瀏覽: 61582 頁
 . 註冊: 7129
 . 失蹤: 1228
 . ZeroX
#8 : 2009-6-17 09:48 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆
我以前也碰過這個情形
無緣無故的突然多了幾個war檔
當下第一個動作是把網路線拔了
後來確定是被人塞了木馬
但我原本就有先設密碼了
而且目錄也被我改掉
真不知道那個hacker怎麼把war塞進去的
最後的解決方式是在firewall上把web admin的介面全擋掉


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
dayi
開墾隊隊員
等級: 14等級: 14等級: 14等級: 14
ZeroX

十週年紀念徽章(五級)  

今日心情

 . 積分: 935
 . 文章: 2060
 . 收花: 7802 支
 . 送花: 2401 支
 . 比例: 0.31
 . 在線: 2821 小時
 . 瀏覽: 61582 頁
 . 註冊: 7129
 . 失蹤: 1228
 . ZeroX
#9 : 2009-6-17 09:51 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (4) 引言回覆

引用:
ROACH寫到:
現在的程式設計師都哪啥都要懂
網管只要懂備份還原重開機就好........

只能深深的嘆一口氣



還有網管部門不錯了
在下我以前還曾經是一人MIS(程式,網管,DBA)


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-22 12:01 AM		 清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.025509 second(s), 6 queries , Qzip disabled