实战：阿里云服务器CentOS6.5下Tomcat网马WAR入侵解决

最新推荐文章于 2023-10-05 16:05:51 发布

redcisco

最新推荐文章于 2023-10-05 16:05:51 发布

阅读量1.5k

点赞数

CC 4.0 BY-SA版权

分类专栏： Linux系统运维

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接：https://blog.youkuaiyun.com/jgy8421d13/article/details/50010023

Linux系统运维专栏收录该内容

10 篇文章

订阅专栏

本文介绍了阿里云服务器上CentOS 6.5系统中Tomcat遭受网马WAR文件入侵的过程。攻击者通过扫描8080端口并尝试弱口令登录，成功侵入后部署了恶意WAR文件。解决方法包括检查并清理恶意文件，加强服务器安全配置，例如更新口令策略和设置防火墙规则。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

by-小世界 http://redcisco.blog.163.com

实战背景：

　　和几乎所有的入侵一样，攻击者对Tomcat的入侵也是从扫描开始的。现在网络上针对Tomcat的扫描工具如雨后春笋般冒出来，一般的用户极易获得。并且其中的有些工具可以进行关键词搜索扫描，攻击者输入相应关键词就可以实施对某类Tomcat站点进行扫描入侵。

　　扫描的原理非常简单，因为Tomcat默认是通过8080端口对外提供Web服务的。这些工具就直接扫描网络中开启了8080端口的主机，并且其可以过滤开放8080端口的Web防火墙，缩小攻击范围。利用扫描工具攻击者不但能够获得开启了8080端口的Tomcat服务器的IP地址，还可以扫描自动猜解弱口令。

login as: root

root@x.x.x.x's password:

Last login: Mon Mar 24 19:45:56 2014 from x.x.x.x

Welcome to aliyun Elastic Compute Service!

[root@个人阿里云服务器代号 ~]# cd /data0/

[root@个人阿里云服务器代号 data0]# ll

drwxr-xr-x 4 root root 4096 Mar 7 19:19 htdocs

drwxr-xr-x 3 mysql mysql 4096 Mar 5 21:05 mysql

drwxr-xr-x 3 root root 4096 Mar 19 17:07 software

drwxr-xr-x 3 root root 4096 Mar 7 14:53 zyp_aichi2

[root@个人阿里云服务器代号 data0]# cd htdocs/

[root@个人阿里云服务器代号 htdocs]# ll

drwxr-xr-x 3 root root 4096 Mar 7 19:19 jquery-easyui-1.1.2

drwxr-xr-x 9 root root 4096 Mar 24 20:37 www

[root@个人阿里云服务器代号 htdocs]# cd www/

[root@个人阿里云服务器代号 www]# ll

drwxr-xr-x 3 root root 4096 Mar 22 20:12 8080

-rw-r--r-- 1 root root 29478 Mar 22 20:12 8080.war//被入侵的网马

drwxr-xr-x 4 root root 4096 Mar 7 19:58 aichi2

drwxr-xr-x 10 root root 4096 Mar 5 17:42 docs

drwxr-xr-x 5 root root 4096 Mar 5 17:42 examples

drwxr-xr-x 3 root root 4096 Mar 22 22:14 Fuck

-rw-r--r-- 1 root root 26170 Mar 22 22:13 Fuck.war

drwxr-xr-x 5 root root 4096 Mar 5 17:42 host-manager

drwxr-xr-x 5 root root 4096 Mar 5 17:42 manager

drwxr-xr-x 3 root root 4096 Mar 5 17:42 ROOT

drwxr-xr-x 7 pwftp pwftp 4096 Mar 7 16:14 shangpin

drwxr-xr-x 4 root root 4096 Mar 22 18:15 X-cn

-rw-r--r-- 1 root root 18817 Mar 22 18:15 X-cn.war

[root@个人阿里云服务器代号 data0]# find / -name tomcat*.xml

/usr/local/tomcat/conf/tomcat-users.xml

[root@个人阿里云服务器代号 data0]# vim /usr/local/tomcat/conf/tomcat-users.xml

实战：阿里云服务器CentOS6.5下Tomcat网马WAR入侵解决 - 小世界 - 小世界

解释：我的配置文件用#号注释掉有效信息了，用户 admin 是管理：Status和Tomcat Manager的

[root@个人阿里云服务器代号 data0]# cd /usr/local/tomcat/conf/

[root@个人阿里云服务器代号 conf]# ll

drwxr-xr-x 3 root root 4096 Mar 5 17:44 Catalina

-rw------- 1 root root 8690 May 14 2009 catalina.policy

-rw------- 1 root root 3665 May 14 2009 catalina.properties

-rw------- 1 root root 1396 May 14 2009 context.xml

-rw------- 1 root root 3257 May 14 2009 logging.properties

-rw------- 1 root root 6470 Mar 5 17:44 server.xml

-rw------- 1 root root 1070 Mar 5 17:47 tomcat-users.xml

-rw------- 1 root root 50757 May 14 2009 web.xml

[root@个人阿里云服务器代号 tomcat]# cd bin/

[root@个人阿里云服务器代号 bin]# ll

（省略）

-rw-r--r-- 1 root root 2096 May 14 2009 shutdown.bat

-rwxr-xr-x 1 root root 1563 May 14 2009 shutdown.sh

-rw-r--r-- 1 root root 2097 May 14 2009 startup.bat

-rwxr-xr-x 1 root root 1956 May 14 2009 startup.sh

[root@个人阿里云服务器代号 bin]# ./startup.sh//启动tomcat服务器，并利用ie登陆

Using CATALINA_BASE: /usr/local/tomcat

Using CATALINA_HOME: /usr/local/tomcat

Using CATALINA_TMPDIR: /usr/local/tomcat/temp

Using JRE_HOME: /usr/local/jdk

//登陆ie管理进行长时间检测，接下来的任务是对整个系统的安全部署，比如iptables

感谢日软的朋友给我这个实战机会，能有确定需求，自己虽然有RHCE证，可是实战机会太少。

评论 4

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。