我希望有人能给我指明正确的方向。
我有一台服务器托管着客户的网站,他们时不时地会运行漏洞扫描,以确保一切正常。最近出现了一个问题。“Apache Tomcat 目录列表和文件泄露问题 - 严重性 5!” - 解决方案是将 Tomcat 升级到较新的版本。
奇怪的是服务器上甚至没有安装 Tomcat。端口 8080 已被阻止,所以我不确定发生了什么。我安装了 tomcat6,但扫描问题仍然出现。
我是新手,所以希望你理解。谢谢
答案1
步骤 0:
卸载您安装的 tomcat6 包。
步骤1:
验证 tomcat 是否正在运行某处通过在您的服务器上运行端口扫描。
nmap -sV servername
第2步:
现在您有了端口,请使用lsof -i :portnumber它来找出哪个恶意进程给您带来了麻烦。
步骤3:
使用 PID 来lsof查找 exe 以及它是如何运行的:
readlink /proc/PIDNUMBER/exe
cat /proc/PIDNUMBER/cmdline
步骤 3.5:
根据操作系统,检查你的 exe 属于哪个软件包。在基于 apt 的(Debian/Ubuntu)上,应该是
dpkg-query -S `readlink /proc/PIDNUMBER/exe`
在 Gentoo 上,使用
equery belongs `readlink /proc/PIDNUMBER/exe`
基于 rpm (Fedora/RHEL/SuSE/whatever)
rpm -qf `readlink /proc/PIDNUMBER/exe`
如果它不是操作系统包并且您自己安装了它,希望您已经知道它是什么。
步骤4:
现在,凭借冷酷无情的事实,升级该软件包,让它离其生命只有一步之遥!如果扫描发现了一个重大漏洞,而你由于安全升级程序松懈而错过了它,使固定您的更新过程。
如果上述任何步骤失败,请联系(IRC 上的 isScannerOpenSource?社区:支持热线)。查看日志是否可以告诉您扫描仪在哪里出错。并可能将其移除并尝试新的。
答案2
我认为您需要提供更多详细信息,例如操作系统、正在使用的 Web 服务器软件以及该服务器上正在运行的应用程序,以便有人能够找到答案。
答案3
获取包含完整详细信息的扫描报告副本。某些扫描器会根据可用目录中某些文件的存在情况“检测”应用程序的存在。如果 Tomcat 曾安装在此服务器上,则可能会留下触发扫描器的痕迹。
虽然上述答案为查找错误安装或证明未安装提供了非常好的想法,但报告本身可能会让您更接近使用其建议的良好起点。