Tomcat是一款开源的Web服务器系统,用其搭建的Web站点系统开销小、扩展性好,并且支持负载平衡与邮件服务等,因此颇受站长们的欢迎。值得一提的是Tomcat在Linux系统平台上优势明显,不少用户利用它搭建Web站点。最近,关于Tomcat的入侵非常火,有不少Web站点甚至服务器沦陷。让人不安的是,实施Tomcat入侵技术门槛比较低,因此危害极大。下面笔者揭秘入侵过程,以便站长知己知彼,采取相应的措施,加固站点安全。
一、Tomcat入侵揭秘 1、扫描 和几乎所有的入侵一样,攻击者对Tomcat的入侵也是从扫描开始的。现在网络上针对Tomcat的扫描工具如雨后春笋般冒出来,一般的用户极易获得。并且其中的有些工具可以进行关键词搜索扫描,攻击者输入相应关键词就可以实施对某类Tomcat站点进行扫描入侵。 扫描的原理非常简单,因为Tomcat默认是通过8080端口对外提供Web服务的。这些工具就直接扫描网络中开启了8080端口的主机,并且其可以过滤开放8080端口的Web防火墙,缩小攻击范围。利用扫描工具攻击者不但能够获得开启了8080端口的Tomcat服务器的IP地址,还可以扫描自动猜解弱口令。(图1) 2、后台 有了上面扫描获得的IP和弱口令后,攻击者就可以通过默认的admin用户登录后台。Tomcat的默认后台是http://服务器IP:8080/manager/html,在浏览器地址栏中输入该URL地址,弹出登录对话框,输入默认用户名admin和弱口令即可登录后台。(图2) 在Tomcat的后台可以看到站点的所有目录和文件,并且提供“Start”、“Stop”、“Reload”、“Undeploy”功能对目录实施“开启”、“停止”、“重启”、“卸除”等操作。当然对于攻击者来说,Tomcat后台中提供的上传功能可能是他们最为感兴趣的。在此可是上传WAR文件,WAR文件是用于发布的、打包后的web应用程序,上传到Web站点后可以被执行。攻击者可以把一个jsp网马打包生成一个WAR文件,上传后就可以运行该网马。(图3) 3、Webshell 通过后台上传用WAR打包的网马后,就在Tomcat站点下生成与上传文件同名的目录。点击该目录,就可以看见jsp网马,在浏览器中输入该网马的URL地址,就获得了一个Webshell。不过通常情况下,攻击者把网马改名为index.jsp,这样点击目录就可以直接运行网马。 在tomcat中获得的Webshell的权限还是非常大的。可以浏览、修改站点中的所有文件,当然还可以创建文件。如果是Windows系统的话可以浏览个磁盘分区分区,执行系统命令。比如创建管理员帐户,上传并运行木马等等。如果是linux系统的话,可以进入各个系统目录,执行linux命令。比如我们可以通过ls -l列出当前目录中的所有文件见图4,查看并修改系统敏感文件/etc/passwd见图5。可以想象我们把passwd中的root:x:0:0:root:/root:/bin/bash中的x删除,那root用户就是空密码了。(图4)(图5)
4、提权渗透 通过Webshell攻击者就可以对系统进行提权、渗透获得整个服务器的控制权。这一部分内容,笔者仅仅点到为止,就不进一步地揭秘了。
您还没有登录,请您登录后再发表评论
7. **防护措施**:除了基本的配置调整,还可以使用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)来增强Tomcat的安全性。同时,定期进行安全审计和漏洞扫描也是必要的。 8. **应急响应**:当遭受攻击时,应迅速...
4. **应用防火墙**:使用防火墙或者入侵检测系统来过滤非法请求,防止目录遍历等攻击。 5. **启用日志记录**:开启详细的日志记录,便于监控和分析异常行为。 6. **使用安全编码**:在开发Web应用时,遵循安全编码...
4. **防火墙和入侵检测系统**:配置防火墙规则,阻止非法请求,并使用IDS/IPS检测并阻断Webshell活动。 5. **日志监控**:密切监控服务器日志,及时发现异常行为。 6. **及时更新和补丁**:保持服务器软件和应用程序...
对于IP流量,使用了IDS(入侵检测系统)进行分析;HTTP流量则通过Hadoop日志分析,以捕捉潜在的异常行为。此外,OSSEC+analog平台用于主机监控,提供C/S架构的部署方式,并结合rsyslog自定义规则。 2. **日志分析...
《Web安全深度剖析》从攻到防,从原理到实战,由浅入深、循序渐进地介绍了Web 安全体系。全书分4 篇共16 章,除介绍Web 安全的基础知识外,还介绍了Web 应用程序中最常见的安全漏洞、开源程序的攻击流程与防御,并...
"memShell" 是一个专为Java Web服务器设计的Webshell,它能够在服务器的内存中驻留,不留下任何持久化的文件痕迹,从而增加了检测和防范的难度。这种类型的Webshell通常用于渗透测试或恶意攻击,因为它们能够更隐蔽...
通过防火墙、入侵检测系统、Web应用防火墙等手段加强防护。同时,定期进行安全审计和漏洞修复,确保服务器安全。 **六、监控与日志管理** 监控系统如Zabbix、Prometheus可实时监控服务器性能,发现并预警异常。日志...
6. **安全防护**:实施防火墙、入侵检测、数据加密等措施,保障平台及数据的安全性。 三、项目实施步骤 1. **需求分析**:深入理解集团的业务需求,明确平台功能和性能指标。 2. **系统选型**:评估市面上的软件...
- **实验目的**:本实验旨在通过搭建一个简单的Web应用程序,模拟SQL注入攻击的过程,并探讨相应的防御措施,帮助理解SQL注入攻击的基本原理及其防范策略。 #### 二、实验原理 - **SQL注入的概念**:SQL注入是一种...
- **业务流程**:从粮食入库到出库的全过程管理。 - **功能架构**:涵盖自动化登记、存储、盘点等多个模块。 - **功能描述**:实现对粮食信息的实时跟踪与管理。 - **集成接口**:与其他业务系统无缝对接。 - **设备...
相关推荐
7. **防护措施**:除了基本的配置调整,还可以使用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)来增强Tomcat的安全性。同时,定期进行安全审计和漏洞扫描也是必要的。 8. **应急响应**:当遭受攻击时,应迅速...
4. **应用防火墙**:使用防火墙或者入侵检测系统来过滤非法请求,防止目录遍历等攻击。 5. **启用日志记录**:开启详细的日志记录,便于监控和分析异常行为。 6. **使用安全编码**:在开发Web应用时,遵循安全编码...
4. **防火墙和入侵检测系统**:配置防火墙规则,阻止非法请求,并使用IDS/IPS检测并阻断Webshell活动。 5. **日志监控**:密切监控服务器日志,及时发现异常行为。 6. **及时更新和补丁**:保持服务器软件和应用程序...
对于IP流量,使用了IDS(入侵检测系统)进行分析;HTTP流量则通过Hadoop日志分析,以捕捉潜在的异常行为。此外,OSSEC+analog平台用于主机监控,提供C/S架构的部署方式,并结合rsyslog自定义规则。 2. **日志分析...
《Web安全深度剖析》从攻到防,从原理到实战,由浅入深、循序渐进地介绍了Web 安全体系。全书分4 篇共16 章,除介绍Web 安全的基础知识外,还介绍了Web 应用程序中最常见的安全漏洞、开源程序的攻击流程与防御,并...
"memShell" 是一个专为Java Web服务器设计的Webshell,它能够在服务器的内存中驻留,不留下任何持久化的文件痕迹,从而增加了检测和防范的难度。这种类型的Webshell通常用于渗透测试或恶意攻击,因为它们能够更隐蔽...
通过防火墙、入侵检测系统、Web应用防火墙等手段加强防护。同时,定期进行安全审计和漏洞修复,确保服务器安全。 **六、监控与日志管理** 监控系统如Zabbix、Prometheus可实时监控服务器性能,发现并预警异常。日志...
6. **安全防护**:实施防火墙、入侵检测、数据加密等措施,保障平台及数据的安全性。 三、项目实施步骤 1. **需求分析**:深入理解集团的业务需求,明确平台功能和性能指标。 2. **系统选型**:评估市面上的软件...
- **实验目的**:本实验旨在通过搭建一个简单的Web应用程序,模拟SQL注入攻击的过程,并探讨相应的防御措施,帮助理解SQL注入攻击的基本原理及其防范策略。 #### 二、实验原理 - **SQL注入的概念**:SQL注入是一种...
- **业务流程**:从粮食入库到出库的全过程管理。 - **功能架构**:涵盖自动化登记、存储、盘点等多个模块。 - **功能描述**:实现对粮食信息的实时跟踪与管理。 - **集成接口**:与其他业务系统无缝对接。 - **设备...