问题 Tomcat 7安全 - 尝试登录？

在Tomcat 7上部署我们的应用程序后，我们得到了很多：

<date> org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "admin"

在我们找到的访问日志中地段这个的：

91.121.4.141 - - <date> "GET /manager/html HTTP/1.1" 401 2486

这似乎是法国ISP（OVH SAS）。

发生什么了？他们试图登录，ping？它是僵尸网络吗？

我们如何防止这种登录尝试？

1927

2017-09-11 10:05

起源

答案:

这看起来像是对Manager应用程序的暴力攻击。 LockoutRealm已完成其工作并锁定用户以防止攻击成功。但是，它确实意味着合法用户也无法登录。假设攻击来自单个IP，请尽早在您的网络中阻止该IP并继续前进。

2017-09-11 13:40

谢谢。我最终阻止了ip iptables -A INPUT -s 91.121.4.141 -j DROP - Enrichman

您可能还会考虑使用fail2ban之类的东西来防止未来类似的攻击。 - mmalmeida

@Mark Thomas我也有同样的问题;我每天早上都在日志文件中看到这样的行。如何避免它。请提出一些建议。我正在使用Tomcat 7。 - Kumar

@Kumar我以前的建议是：阻止源IP。使用fail2ban自动化流程的建议是很好的建议。 - Mark Thomas

@MarkThomas感谢您的建议并回答Mark。 - Kumar

答案:

2017-09-11 13:40

谢谢。我最终阻止了ip iptables -A INPUT -s 91.121.4.141 -j DROP - Enrichman

您可能还会考虑使用fail2ban之类的东西来防止未来类似的攻击。 - mmalmeida

@Mark Thomas我也有同样的问题;我每天早上都在日志文件中看到这样的行。如何避免它。请提出一些建议。我正在使用Tomcat 7。 - Kumar

@Kumar我以前的建议是：阻止源IP。使用fail2ban自动化流程的建议是很好的建议。 - Mark Thomas

@MarkThomas感谢您的建议并回答Mark。 - Kumar

有用的信息可能在这里： https://serverfault.com/questions/244614/is-it-normal-to-get-hundreds-of-break-in-attempts-per-day

以及如何检查（在CentOS / RedHat上）失败

cat /var/log/secure | grep 'sshd.*Invalid'

成功登录尝试

cat /var/log/secure | grep 'sshd.*opened'

阻止每15秒尝试一次的用户

iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --update --seconds 15 -j DROP
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set -j ACCEPT

关于Auth的完整报告

aureport

此处还有其他工具信息

http://www.tecmint.com/5-best-practices-to-secure-and-protect-ssh-server/

一些安全技术在这里

https://wiki.centos.org/HowTos/Network/SecuringSSH

2018-06-07 21:19

问题 Tomcat 7安全 - 尝试登录？

答案:

答案:

热门问题