在安装 Tomcat 之后,在我更改默认 Tomcat Manager 密码之前,攻击者使用 Tomcat Manager 部署了自己的软件。可能是一些 DDOS 工具和文件管理器。
我已经删除了可疑的 java 软件,更改了所有用户密码。不允许通过 ssh 进行 root 登录。
我现在该如何行动来确保服务器安全?
我需要检查什么?如何追踪任何其他可疑活动?
答案1
我来回答你的第一个问题:
我现在该如何行动来确保服务器的安全?
如果可以的话,不要尝试清理它。只需重新安装操作系统,并设置防火墙规则,阻止除当前 IP 地址之外的任何人访问 Tomcat 管理器。更好的方法是阻止除 SSH 之外的所有访问,然后通过隧道进入服务器,然后通过隧道访问 Tomcat 管理器。
我认为你也应该阅读以下文档Tomcat 管理器设置。