|
Tomcat是一款开源的Web服务器系统,用其搭建的Web站点系统开销小、扩展性好,并且支持负载平衡与邮件服务等,因此颇受站长们的欢迎。值得一提的是Tomcat在Linux系统平台上优势明显,不少用户利用它搭建Web站点。最近,关于Tomcat的入侵非常火,有不少Web站点甚至服务器沦陷。让人不安的是,实施Tomcat入侵技术门槛比较低,因此危害极大。下面笔者揭秘入侵过程,以便站长知己知彼,采取相应的措施,加固站点安全。
一、Tomcat入侵揭秘
1、扫描
和几乎所有的入侵一样,攻击者对Tomcat的入侵也是从扫描开始的。现在网络上针对Tomcat的扫描工具如雨后春笋般冒出来,一般的用户极易获得。并且其中的有些工具可以进行关键词搜索扫描,攻击者输入相应关键词就可以实施对某类Tomcat站点进行扫描入侵。
扫描的原理非常简单,因为Tomcat默认是通过8080端口对外提供Web服务的。这些工具就直接扫描网络中开启了8080端口的主机,并且其可以过滤开放8080端口的Web防火墙,缩小攻击范围。利用扫描工具攻击者不但能够获得开启了8080端口的Tomcat服务器的IP地址,还可以扫描自动猜解弱口令。(图1)
2、后台
有了上面扫描获得的IP和弱口令后,攻击者就可以通过默认的admin用户登录后台。Tomcat的默认后台是http://服务器IP:8080/manager/html,在浏览器地址栏中输入该URL地址,弹出登录对话框,输入默认用户名admin和弱口令即可登录后台。(图2)
[1] [2] [3] 下一页 |
