个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
24
4
您好,我有一台亚马逊 ec2 服务器,我将此服务器用于我的 Java 应用程序,但从最近几天开始,我遇到了一个非常不寻常的问题,我担心有人可能会玩我的服务器。
当我使用 ipaddress:8080/manager 登录我的 tomcat 管理器时。它要求我输入我在 tomcat-user.xml 文件中的用户名和密码。当我登录到系统时,它在几分钟后只显示一个 Activity 实例,它告诉我有不止一个用户使用 tomcat 管理器,但问题是我没有与任何人共享我的凭据。请检查此屏幕截图。
如您所见,我的 tomcat 管理器有 94 个可用的 session ID,但它们都没有用户名,而且它们也不活跃。我使用用户名 admin 登录的只有一个处于 Activity 状态。
当我检查服务器日志时,我还发现有些人正在尝试使用以下角色 root-tomcat-manager 进行身份验证。附件是日志。
Sep 28, 2015 4:54:02 PM org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "root"
Sep 28, 2015 4:55:07 PM org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "admin"
Sep 28, 2015 4:56:44 PM org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "manager"
Sep 29, 2015 7:08:16 AM org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "root"
Sep 29, 2015 7:08:16 AM org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "tomcat"
Sep 29, 2015 7:08:16 AM org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "manager"
Sep 29, 2015 7:08:16 AM org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "manager"
Sep 29, 2015 7:08:19 AM org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "tomcat"
Sep 29, 2015 7:08:19 AM org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "tomcat"
我做了一些谷歌,我将 tomcat 权限从 755 更新到 750,还更新了它的用户,这在很多问题中都有解释。但我一直面临这个问题。
我无法解决这个问题,我担心有人一直在玩我的系统。所以,我的问题是如何防止来 self 的服务器的此类攻击,或者这只是 tomcat 中的一个错误(对此不确定)。
任何帮助将不胜感激。提前致谢。
最佳答案
正如 @aldebober 所解释的那样我们可以实现它,但还有另一种简单的解决方案可以减少对您服务器的攻击次数。
Tomcat 基本上在端口 8080 上工作所以很容易被任何人猜到,如果我们托管 Java Web 应用程序,那么它将在端口 8080 上运行。 .但是我们可以更改它的默认端口号,这样可以减少攻击次数,所以我们需要在 Server.xml 中做一个小改动。 文件在 tomcat/conf文件夹。
变化
<Connector port="8585" protocol="HTTP/1.1" connectionTimeout="20000" URIEncoding="UTF-8" redirectPort="8443" />
更新
确保您的 tomcat 管理器具有强密码而不是默认密码。
关于java - tomcat7 在tomcat管理器中显示不活跃用户数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32863522/
24
4
0
This question already has answers here: Using Variable for Thread group Ramp up time (3个答案) 3年前关闭。 从
我希望使用 RPyC 为硬件板提供 API 作为服务。该板一次只能满足一个用户的需求。有什么方法可以让 RPyC 强制执行一次只有一个用户可以访问吗? 最佳答案 我不确定这是否有效(或有效),但您可以
如果我想以每秒 10 个请求运行测试。如何让 Jmeter 选择每秒处理该请求数所需的最佳线程数。 我将线程数设置为与每秒请求数相同。 最佳答案 您可以使用恒定吞吐量计时器 click here你只需
我正在尝试进行查询以检查客户表并返回过去 30 天、过去 365 天和所有时间具有特定值的用户数。 所有时间的计数很简单: $stmt = $conn->prepare("SELECT count(i
我是一名优秀的程序员,十分优秀!