记一次Tomcat控制台弱口令爆破事件应急响应

01 事件背景介绍

某内部应急演练中，安全部门在安全设备上观察到大量Tomcat控制台登录请求，现需根据流量情况进行安全事件分析。

Apache Tomcat是Apache 软件基金会的一款中间件。其中Manager App控制台容易被攻击者利用，通过弱口令爆破或者默认口令登录。

控制台页面存在Deploy功能，且可以通过上传war包进行快速部署。则此功能存在被攻击者利用进行上传webshell则可能呗攻击者获取服务器权限。

02 流量分析过程

发现攻击者对10.X.X.10的Apache Tomcat的控制台进行大量的账号密码暴力破解攻击，触发安全设备的攻击告警事件，进一步查看服务器响应包，发现存在200状态码，即攻击者爆破口令成功，成功登录Tomcat的控制台。

进一步追溯攻击者IP，以攻击者IP作为源地址进行安全事件检索，进一步发现攻击者使用Tomcat控制台upload功能war包部署webshell

而后攻击者进一步试图连接x.jsp，执行命令且服务器成功返回命令执行结果

据此判断主机10.X.X.10失陷，继续观察其他流量，未发现其余明显异常行为。

03 事件分析结果

攻击者使用弱口令爆破方式对Tomcat控制台进行登录尝试，登录成功后利用upload模块功能写入webshell，从而获取服务器权限。

04 安全加固建议

1、通过流量分析得知的webshell上传路径，对Webshell文件进行删除处理。以下图请求包为例，得知webshell上传的路径为/x/x.jsp。则webshell实际目录应为tomcat/webapps/x/x.jsp，检查文件目录进行确认。

2、利用Webshell查杀攻击对网站目录进行进一步的扫描排查，如使用D盾查杀工具等。

3、及时修改tomcat控制台用户口令，确保密码强度符合要求，建议大小写字母+数字+特殊字符+8位以上。避免Tomcat控制台常见用户名，如admin、manager、role、root、tomcat、both；Tomcat控制台常见密码，如admin、manager、role、root、tomcat、both。