当发现现自己管理的部署在tomcat下的系统受到攻击后,我所做的加固动作

本文详细介绍了在发现Web项目遭受攻击后,采取的一系列安全措施,包括修改登录机制、过滤特殊字符防止SQL注入、更改默认端口、删除不必要的内置工具等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当发现我管理的web项目的目录下多了几个不认识的文件后,意识到系统可能受到攻击了,文件如下图:
    红框里的就是可疑文件.
然后查了一下数据库的系统登录记录,发现在SQL注入的记录.
用编辑器打开后,看到了一些类似于webshell的代码        
随后,到网上搜索了一些关于TOMCAT的攻击和防御的方法,然后对工时系统的服务器做了如下工作:
    1.更改登录的ACTION,防止通过外网使用简单的密码登录:例如123456,对于输入错误6次密码的IP进行延时允许登录,并成阶梯式增长:例如:超过6次错误登录,则延时15分钟,如再错4次则变成延时30分钟,如            再错5次,则延时1小时,依此类推,另外,对于尝试登录每次间隔如果小于2秒者禁止登录.
  
   2. 过虑用户名和密码中包含:单引号',等号=,星号*,百分号% 等字符,防止SQL注入,当然ibatis已对此做了防范.

    3.对登录前和登录成功后做保存,可以方便查询系统是否受到攻击,是否被攻击登录成功

   4.修改默认的系统端口:8080改为其它端口号,防止黑客专门扫描8080的网站,
    
    5.删除tomcat自带的管理工具和代码:tomcat_manager,tomcat_exaples,tomcat_docs,tomcat_manager,以及其它无用的项目

     6.立即删除多余的WINDOWS服务器的帐号.增加专用于启动TOMCAT的专用帐号:admin11,删除此帐号在其他组的权限,dos命令如下:
        net user admin11 "mypassword" /add
        net localgroup users admin11 /del

        以tomcat_admin用户运行startup.bat,方法如下:
        runas /user:admin11 cmd.exe
        看到提示输入密码时,输入密码,回车后经验证成功后就进入了以admin11用户运行的cmd
        这时用cd命令使用当前登录移到tomcat的bin目录下,然后运行startup.bat.这样就搞定了.
        
        如果是以服务形式启动的则在服务的属性里更改登录用户为admin11,然后重启tomcat服务.
   
    7.设置TOMCAT的根目录为admin11完全控制,webapps的项目使用移到另外新建的目录tomcatWebapps中.对server.xml进行相关配置
    
     8.把默认的logs的日志目录移到其它单独的目录中,指定只有管理员和admin11有读写权限  
    
     9.把web项目的目录中的文件彻底删除,重新部属.
    
    10.搜索与病毒相同修改日间的文件,对于不认识的或有可能是病毒的删除
    
    11.查看启动项和计划任务,服务中是否有未知的或有可能是病毒的进行删除或禁止运行.
    
    12.查对正运行的进程是否是病毒,若有可疑程序则停止或删除

    13.修改server.xml中的8005的关闭tomcat的'shutdown'为其它命令字符串

    14.在server.xml中关闭没有用到的8009端口

    15.在系统的拦截器里增加对登录的JSESSIONID的来源进行判断,如果是来自URL的则是非法用户使用模拟JSESSIONID进行模拟登录,用到的判断语句为:request.isRequestedSessionIdFromUrl()
    正常的用户访问的值是false,否则是true

此文仅当工作笔记,如各位网友发现以上的做法有什么不妥的地方,还请多多指点,谢谢
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值