Solución de problemas de WebShell del servidor Tomcat
2. La ruta del archivo troyano: /web/tomcat-xxx/webapps/no3/cc.jsp.
1. Antes de confirmar la función del archivo cc.jsp , elimine / La carpeta no3 y el archivo no3.war en la carpeta webapps en el directorio home/xxx y haga una copia de seguridad del archivo no3.war en el directorio /home/xxx.
2. Al mismo tiempo, envíe el archivo cc.jsp en la carpeta no3 al local para su análisis y confirme que es un archivo troyano jsp de puerta trasera que puede obtener permisos de servidor remoto.
1. El atacante cargó un archivo no3.war en la carpeta webapps y creó una carpeta no3 que contiene el archivo troyano cc.jsp. Primero, el atacante debe encontrar el método de carga y la ruta. Consulte el sitio web y descubra que utiliza el contenedor Tomcat.
2. La idea adicional es verificar las vulnerabilidades del propio Tomcat, verificar el archivo de configuración de Tomcat tomcat-users.xml y encontrar la contraseña débil del administrador de la aplicación Manager.
3. La posible idea del ataque es cargar un archivo troyano en formato WAR a través de la vulnerabilidad de contraseña débil de Tomcat.
1. Inicie sesión en la función Manager App de http://x.x.x.x/ a través de la contraseña débil admin/admin.
2. Luego busque la función de descompresión de archivos WAR y cargue un paquete WAR de Tomcat que contenga el caballo de Troya. Un paquete WAR es similar a un archivo de paquete comprimido de un sitio web. Puede crear su propio caballo de Troya en el paquete WAR y luego pasarlo al servidor.
3. Aquí, se carga un archivo goodwin.war para realizar pruebas (war contiene un archivo troyano cc.jsp. Después de que la carga se realice correctamente, se descomprimirá y generará automáticamente una carpeta goodwin en la raíz). directorio del sitio web del servidor. El archivo troyano cc.jsp se encuentra en la carpeta goodwin.
4. Chopper, agregue y conecte la dirección del archivo troyano que acaba de cargar, contraseña 023.
5. Luego abra la función de administración de archivos y descubra que hemos obtenido permiso para acceder al servidor y podemos acceder a todos los archivos en el servidor.
6. Esto reproduce el proceso en el que el atacante carga el archivo no3.war y lo descomprime automáticamente para generar la carpeta no3 que contiene el troyano cc.jsp, y luego obtiene el webshell del servidor a través de una conexión remota para obtener permisos del servidor.
1. Después de confirmar que el archivo sospechoso es una puerta trasera troyana, elimine el archivo no3.war respaldado en el servidor.
2.
2. Elimine el archivo goodwin.war cargado durante la prueba y todos los archivos en la carpeta goodwin.
3. Cambie la contraseña del administrador de Tomcat.
1. Verifique y elimine usuarios sospechosos en el servidor: cat /etc/passwd.
2. Cambie la contraseña de Tomcat de vez en cuando por una contraseña segura que contenga letras mayúsculas, minúsculas, números y caracteres especiales.
3. Actualice la versión de Tomcat. La versión actual es 7.0.54, que tiene múltiples vulnerabilidades de seguridad. Se recomienda actualizar a la última versión 7.0.88.
.