Java tomcat漏洞讨论

我有一个使用Tomcat 7.0.42的web应用程序。我最近在我的服务器上发现了我没有上传的文件。这些黑客文件允许任何人在我的服务器上创建文件

我很想知道他们是如何访问我的服务器的。在我的web应用程序中，我有一个与用户交互的表单，但所有字段都受到正则表达式的限制，我使用准备好的语句来处理数据库

此外，我上传了一个只显示信息的web应用程序版本，删除了所有表单，不允许与用户进行任何类型的交互。我还更改了密码。但文件仍在出现

我想讨论可能存在的漏洞和解决方案：

• 上传war后是否删除tomcat webapps文件夹上的写入权限
• 我的代码可能被破坏了吗

---

任何帮助都将不胜感激，提前谢谢

尝试阅读Tomcat安全文档

首先检查Manager应用程序是否存在，以及您是否为该应用程序配置了弱密码用户

查看访问日志通常是我的下一个调用端口

---

正如@Grimby正确指出的，Tomcat可能不是他们进入Tomcat的方式。

正如Mark指出的，进入Tomcat服务器的最简单方式是使用一周或默认密码访问Tomcat管理器

确保它不是公开的，您有一个强大的密码，并检查您的JSP代码是否存在web漏洞

一旦您被黑客攻击，您可能已经被后门攻击，无论是在代码级别还是在服务器中的某个rootkit。检查您的web日志，最近执行了哪些命令，并输入“rm-rf/”以确保所有内容都已清除

---

Ignacio。

选项3：他们通过另一种与Tomcato完全无关的方式进入。什么是后门？代码不是问题：我上传了一个只有一个页面的版本来显示信息，但他们继续访问我的服务器后门意味着攻击者已经植入了一个软件，可以随时访问受影响的设备/软件。可以在代码（您应该进行校验和或区分文件，以查看是否有任何不需要的更改）或服务器中植入后门。检查你的tomcat日志，也许你会看到一些有趣的东西。根据攻击者的个人资料，它可能会一次又一次地留下其活动和进入的痕迹，并带有相同的漏洞，或者他可以进行更高级的攻击，包括他的行为和“安装”后门，以便随时进入