记一次tomcat漏洞修复

记一次tomcat漏洞升级

在我管理的服务器中一次安全审计漏洞扫描，服务器发现有较多安全漏洞，经过梳理，发现都是tomcat产生的高危漏洞现版本两台服务器32级tomcat8080，9090和33机上的tomcat8080版本分别为8.5.61和8.5.54，根据提示，要打补丁或者更新tomcat版本，这里我们选择更新版本到8.5.81（tomcat更新需要选择同版本更新，例如tomcat8不可以更新到tomcat9或者10）。

###开干
目的有了，大概的思路就是测试环境先更新，看情况，再申请到线上服务器更新，然后就开干，把测试环境的升级了，看着没什么大问题，顺带还把隐藏tomcatbanner版本号的工作一起搞了，直接打开对应的网页，发现能正常访问到，心理就有底了（实际上还没有测试登录进去的情况，只到了登录页，犯错伏笔之一）

线上操作

这里需要注意的是，一开始就犯了一个大错，操作之前因为没有打开漏扫确，以为是31,32，导致升级都上错了服务器，还把所有tomcat服务器都升级了。。
晚上就申请了作业，一般都是晚上干活，影响比较小，晚上到家，外面吃个饭，开始干活就9.30了，测试环境操作过，心理就有了点底气，开始一顿停服务，备份操作，没想到上面加上日志有100多G，备份不下来结果干等了10几分钟备份还失败了，这里大意了，没注意磁盘空间，然后删掉重新备份，第二次备份到一半，结果公司断电老板还在公司开始着急了，怕服务器坏掉，没办法只能应急跑公司去了，处理完停电这个事情，就已经12.00了，开始继续往下，大致的操作是备份
替换，更新配置文件，启动检查，开始升级第一个31上的8080，按照那几个操作，升级完发现能正常启动，然后打开网页觉得没问题，开始大搞特搞，把命令行做成小脚本的方式进行升级，看进程和端口起来了，就觉得没问题，开始按第一台操作，升级完了第二台就已经凌晨3点了就以为正常结束了这件事情。
升级步骤

rm -rf tomcat8083/*
cp -rf apache-tomcat-8.5.81/* tomcat8083/
cp -rf ../tomcat-bak/tomcat8083/webapps/ tomcat8083/
cp -rf ../tomcat-bak/tomcat8083/bin/catalina.sh tomcat8083/bin/catalina.sh
cp -rf ../tomcat-bak/tomcat8083/conf/server.xml tomcat8083/conf/server.xml
./tomcat8083/bin/catalina.sh start

第二天

第二天，再扫描一遍才发现基本上做了一晚上的无用功，tomcat漏洞还搁在那里，最尴尬的是服务也没正常启动，想着怎么去找出问题然后恢复他，发现很有难度，到了下午才开始着手回退，才发现备份也没有备份完全，有几个tomcat没有备份下来。。还好运气好加上同事帮助，把测试服务器上对应的tomcat拷过去了。

存在的问题

1.操作前应该核对漏洞扫描报告，核实对象
2.遇到突发情况应该慎重考虑是否要停止操作，会导致自己慌张，做事不利
3.要有时间控制观念，尽量不要在半夜操作，第一是没人复核，第二是容易犯困，操作失误
4，备份和操作应该分开，做好所有备份时再操作，不能操作一个备份一个，容易出错，还有备份好了需要核实确认
5.升级出现故障需要第一时间回退，其他的需要另外打算
6。操作前需要了解清楚注意事项和一些细节上的事情，例如服务上的启停关系，如何正确的确认是否正常启动了
7.做漏洞扫描之前应该先熟悉漏洞扫描这个报告

自我反思

1,.修复漏洞扫描需要先熟悉漏洞扫描相关的内容，然后再考虑对应的方案
2.做之前要做好处理方案和测试方案，写出实质的文档最佳，心里记的步骤容易被客观因素影响，打乱，做出一份checklist，做的过程中对应核对
3.要学会寻求帮助去解决问题，解决问题才是关键
4.要和队友的负责人确认自己的方案先，寻求注意事项和校验结果