为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓
- 01 事件背景介绍
- 02 流量分析过程
- 03 事件分析结果
- 04 安全加固建议
01 事件背景介绍
某内部应急演练中,安全部门在安全设备上观察到大量Tomcat控制台登录请求,现需根据流量情况进行安全事件分析。
Apache Tomcat是Apache 软件基金会的一款中间件。其中Manager App控制台容易被攻击者利用,通过弱口令爆破或者默认口令登录。
控制台页面存在Deploy功能,且可以通过上传war包进行快速部署。则此功能存在被攻击者利用进行上传webshell则可能呗攻击者获取服务器权限。
02 流量分析过程
发现攻击者对10.X.X.10的Apache Tomcat的控制台进行大量的账号密码暴力破解攻击,触发安全设备的攻击告警事件,进一步查看服务器响应包,发现存在200状态码,即攻击者爆破口令成功,成功登录Tomcat的控制台。
进一步追溯攻击者IP,以攻击者IP作为源地址进行安全事件检索,进一步发现攻击者使用Tomcat控制台upload功能war包部署webshell
而后攻击者进一步试图连接x.jsp,执行命令且服务器成功返回命令执行结果
据此判断主机10.X.X.10失陷,继续观察其他流量,未发现其余明显异常行为。
03 事件分析结果
攻击者使用弱口令爆破方式对Tomcat控制台进行登录尝试,登录成功后利用upload模块功能写入webshell,从而获取服务器权限。
04 安全加固建议
1、通过流量分析得知的webshell上传路径,对Webshell文件进行删除处理。以下图请求包为例,得知webshell上传的路径为/x/x.jsp。则webshell实际目录应为tomcat/webapps/x/x.jsp,检查文件目录进行确认。
2、利用Webshell查杀攻击对网站目录进行进一步的扫描排查,如使用D盾查杀工具等。
3、及时修改tomcat控制台用户口令,确保密码强度符合要求,建议大小写字母+数字+特殊字符+8位以上。避免Tomcat控制台常见用户名,如admin、manager、role、root、tomcat、both;Tomcat控制台常见密码,如admin、manager、role、root、tomcat、both。