2018-01-04 记录一次tomcat被黑

和往常一样通过网页访问进入tomcat管理页面

在路径上多了三个未知用途的三个项目，刚开始还以为是朋友上的

看了项目名是数字加字母组合 没有实际意义 不符合开发习惯，心里就比较警惕了

因为服务器上什么都没放  也没关心安全方面管控 没想到就翻车了。

翻看tomcat calalina日志 项目是从1月1日上传 

找到对应的访问日志  攻击从中午12点开始  未知IP多次连续访问/manager路径

在5次401过后破解密码（我用的是默认的）上传木马后多次访问木马路径

应该是在浏览webapps目录  有没有浏览计算机目录未知

直到18点结束  应该是发现上面空空如也就放弃了  连传上来的项目都没删-_-|| 真是不好意思

做了如下应对：

1.更改管理员账号密码

2.改变tomcat端口（默认的8080经常被别有用心的扫描工具扫到） 关闭8080端口

3.删除tomcat默认主页，更改manager访问路径

这样应该可以防止一般的扫描工具入侵

其次还有常见的注入式攻击  下次遇到再分享