现在的问题是这样的,系统管理员安装的服务器,现在tomcat是用root用户启动的服务.最近我发现tomcat的webapps下有些不明的war文件,很多个,里面大致都是jsp文件,用于显示服务器的信息情况和可以直接查看修改文件,可以删除文件,也可以连接数据库的东西,因为我们有些项目应用被他们不规范的放在webapps里面,里面也有数据库密码这些被外面的人通过这种方式知道了.
另外我查看/var/logs/messages里面的也有很多ip在尝试登录ssh,这些ip都是各地都有,有国外的,长沙的,重庆的,等.现在我不明白的是这个war文件是怎样传上来的,因为系统管理员把8080端品没关掉,我们是用的8009和apache配合就可以的,里面有admin和manager这两个目录没有去掉,但奇怪的是我记得以前我默认的tomcat里面的tomcat-users.xml 这个是没有admin,manager角色的,但我现在去看这个又加上了这个admin,amager的角色,还有一个admin的用户,应该是用户通过这个弄的,但我现在找半天也没见到哪里可以上传这个war上来的地方,大家能告诉我一下,我这种情况的安全问题是出在哪里了吗?现在是要找到这个安全问题具体是哪一步引的,我怕我去掉了admin,manager目录和8080端口,更改了ssh默认端口这些,以后还会有问题.就怕tomcat5.0有什么潜在的安全问题.
问题补充:
关键是我记得默认情况下我这个tomcat-users.xml里是没有admin,manager角色的,后来我看这个文件里有这个角色了,这是怎么回事?会不会是因为这个tomcat还有其它地方有安全隐患呢?
问题补充:
to: hjgundam
哎,现在的问题是,我也修改过,日期看不出来了,tomcat-users.xml权限是:-rw-r--r--
问题补充:
to:congji2002
用tomcat里的admin真的可以上传war文件吗?因为我这里真的想确定到底是用户侵入了,上传的war文件,修改的tomcat-users.xml文件,还是通过默认的admin进入了,上传的war,再用jsp来做的一步侵入工作.
问题补充:
晕得我想死,原来系统管理员自己测试把admin和manager的管理角色打开了,而且管理的用户名和密码都是admin.这样人家侵入就非常方便了....
http://hi.baidu.com/rosicky311/blog/item/27ef998227deefbb6c8119d8.html
这里说的就是这种入侵方式,哎....
添加评论
关注(0)
相关推荐
6. **绿色解压版**:绿色解压版的特点是不需安装,解压缩后即可运行,方便了开发者在不同环境下的快速部署和测试,同时避免了可能的系统注册表污染和依赖冲突问题。 7. **跨平台性**:由于Tomcat是基于Java的,因此...
Jakarta Tomcat 5.0.28 版本是在Java Servlet 2.4和JSP 2.0规范下发布的。这两个版本引入了许多增强功能和改进,包括: 1. **性能优化**:5.0系列的Tomcat在性能上有了显著提升,对多线程和请求处理进行了优化,...
【Jakarta Tomcat 5.0.28】是一个经典的Web服务器和应用服务器,它在Java社区中扮演了重要的角色,特别是在开发和部署基于Java Servlet和JavaServer Pages(JSP)的应用程序时。Tomcat是Apache软件基金会 Jakarta...
本篇文章将聚焦于Tomcat5的v5.0.28版本,该版本为32位和64位系统以及Linux系统提供了支持,旨在帮助开发者们更好地理解和使用这一经典版本。 Tomcat5 v5.0.28是在2004年发布的,它基于Servlet 2.4和JSP 2.0规范,这...
Tomcat 5.0.28发布于2006年,那时候Java EE(当时称为J2EE)的标准还在4.0版本,因此这个版本可能不支持后来引入的一些新特性,如Java EE 5或6中的注解驱动开发和JSF 2.0等。 **核心组件和目录结构:** 1. **bin**...
在Linux环境下安装Apache Tomcat是一个必要的步骤,特别是对于Java开发者或Web服务器管理员来说。以下是一个详细的步骤指南,以Tomcat 5.0.28为例: 1. **安装JDK**: 首先,确保你的系统已经安装了JDK 1.4或更高...
【标题】"Tomcat5 Linux 版" 是一个关于在Linux操作系统,特别是Red Hat AS4上部署和运行Apache Tomcat 5.0.28版本的专题。Apache Tomcat是一款开源的Java Servlet容器,它实现了Java Servlet和JavaServer Pages ...
本文将详细讲解如何在Linux环境下安装并配置Tomcat。 首先,我们需要从官方网站下载Tomcat的安装包。你可以访问`www.apache.org`,在其中的Tomcat下载页面找到最新版本的Tomcat。在示例中,我们使用的是Jakarta ...
本文详细介绍了在Linux环境下安装Tomcat的具体步骤和注意事项。从前期准备到安装完成后的验证过程,每一步都进行了详细的讲解。此外,还提供了一些常见问题的解决方案,帮助用户顺利完成Tomcat的部署和使用。对于...
- 在`/opt/software`目录下执行`tar zvxf jakarta-tomcat-5.0.28.tar.gz`命令,解压出Tomcat文件夹。 #### 四、配置环境变量 为了能够正常使用JDK和Tomcat,还需要进行必要的环境变量配置: 1. **编辑`.bash_...
在Linux环境中,安装和配置Java及Tomcat是搭建服务器应用的基础步骤。以下是对这个过程的详细解释: 首先,我们需要安装Java。在这个例子中,我们使用的是Java Enterprise Edition (Java EE) SDK 5.04。这一步骤...
在Linux环境下,搭建Java开发和部署环境通常涉及安装JDK(Java Development Kit)、TOMCAT(一个流行的Java应用服务器)以及MYSQL(一个广泛使用的开源数据库系统)。以下是对这些组件安装步骤的详细说明: **一、...
- **复制安装文件:** 将 `jakarta-tomcat-5.0.28.tar.gz` 文件拷贝到 `home/wangbo` 目录下。 - **解压安装文件:** 使用命令 `#tar zxvf jakarta-tomcat-5.0.28.tar.gz` 解压文件。 - **重命名文件夹:** 解压后使用...
在Linux环境下搭建Web测试环境是进行软件开发和测试工作的重要步骤。本文主要讲解如何在Linux系统上安装JDK和Tomcat,这两个组件是搭建Web服务的基础。 首先,我们来看JDK的安装过程: 1. 首先,你需要下载JDK的...
Tomcat的日志信息存储在`logs`目录下,监控这些日志可以帮助你诊断和解决问题。此外,可以通过调整JVM参数、限制连接数、启用连接池等方式优化Tomcat的性能。 通过以上步骤,你已经成功安装并配置了Tomcat服务器。...
环境:系统:红帽linux企业版4(红旗LINUX也是一样,会更简单) jakarta-tomcat-5.0.28.tar.gz(二进制源码) jdk-1_5_0_15-linux-i586-rpm.bin(RPM包) 达梦数据库
在Linux环境下搭建Web测试环境是开发和运维工作中的一项基础任务,通常涉及到JDK的安装、配置以及Web服务器如Tomcat的部署。以下是对这个过程的详细解析: **一、JDK安装** 1. **下载与解压JDK**: 从官方或者第三...
- **Apache Tomcat**:推荐使用Terracotta官方支持的版本,如Apache Tomcat 6.0.18、5.5.26或5.0.28。 - **Terracotta**:建议使用3.0或更高版本。 - 在所有参与集群的机器上安装Java环境。 2. **安装Terracotta...
在Linux环境下进行J2EE开发,首先需要搭建基础的开发环境,主要包括JDK的安装、Tomcat服务器的配置以及MySQL数据库的安装。以下是对这些步骤的详细解释: **JDK安装** 1. **下载JDK**:从Oracle官网或者镜像站点...