记一次Tomcat控制台弱口令爆破事件应急响应
【摘要】 记一次Tomcat控制台弱口令爆破事件应急响应
01 事件背景介绍
某内部应急演练中,安全部门在安全设备上观察到大量Tomcat控制台登录请求,现需根据流量情况进行安全事件分析。
Apache Tomcat是Apache 软件基金会的一款中间件。其中Manager App控制台容易被攻击者利用,通过弱口令爆破或者默认口令登录。
控制台页面存在Deploy功能,且可以通过上传war包进行快速部署。则此功能存在被攻击者利用进行上传webshell则可能呗攻击者获取服务器权限。
02 流量分析过程
发现攻击者对10.X.X.10的Apache Tomcat的控制台进行大量的账号密码暴力破解攻击,触发安全设备的攻击告警事件,进一步查看服务器响应包,发现存在200状态码,即攻击者爆破口令成功,成功登录Tomcat的控制台。
进一步追溯攻击者IP,以攻击者IP作为源地址进行安全事件检索,进一步发现攻击者使用Tomcat控制台upload功能war包部署webshell
而后攻击者进一步试图连接x.jsp,执行命令且服务器成功返回命令执行结果
据此判断主机10.X.X.10失陷,继续观察其他流量,未发现其余明显异常行为。
03 事件分析结果
攻击者使用弱口令爆破方式对Tomcat控制台进行登录尝试,登录成功后利用upload模块功能写入webshell,从而获取服务器权限。
04 安全加固建议
1、通过流量分析得知的webshell上传路径,对Webshell文件进行删除处理。以下图请求包为例,得知webshell上传的路径为/x/x.jsp。则webshell实际目录应为tomcat/webapps/x/x.jsp,检查文件目录进行确认。
2、利用Webshell查杀攻击对网站目录进行进一步的扫描排查,如使用D盾查杀工具等。
3、及时修改tomcat控制台用户口令,确保密码强度符合要求,建议大小写字母+数字+特殊字符+8位以上。避免Tomcat控制台常见用户名,如admin、manager、role、root、tomcat、both;Tomcat控制台常见密码,如admin、manager、role、root、tomcat、both。
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
作者其他文章
评论(0)