IT001

現場(環境):Windows         套件:tomcat

這邊要分享的是多年前友人遇到的專案遭駭入的事件。

專案網站被綁架了，改成了下面的頁面。

Tomcat較舊的版本在沒有更新的狀況下，可能會有漏洞可鑽。

或者部分的工程師沒有設定好，導致其他人可以透過網址上傳檔案或shell至伺服器上，

這就成為了駭客攻擊的漏洞。

所以分享一下當初在檢查的一些注意事項，

大家有想法可以分享在留言板讓我知道~

 

Tomcat網站被駭 注意項目

1.先去看設定檔有沒有做防範。

有沒有針對IP阻擋的網站家目錄作確認
<下圖就是有阻擋IP連線>

如果有IP連線限制，就要更注意!

到底是內賊或者是又有其他地方淪陷而你不自知。

2.檢查tomcat目錄狀況(有無異狀/異常檔案)

3.檢查tomcat專案資料夾的狀況

(圖為網站被駭入後的樣子)

可以看到tomcat專案中多出了一個奇怪的可疑頁面。

先將這個頁面的專案找出來，並且移到其他地方。

先讓網頁無法再顯示，之後再來檢查一下路徑下有沒有問題。
這邊一看就有一個怪怪的a.php網頁

4.檢查Windows使用者家目錄下有沒有被塞東西

(檢查檔案日期，或者沒看過的檔案)

*記得，被隱藏的檔案也要全部顯示出來找

檢查Windows system底下有沒有被塞東西(只能看檔案日期，太深入的找不太到)

--> 0.log 這也是有問題的東西

初步檢查大概如上述

在沒有軟體幫忙的情況下，這邊的檢查大多只是心安而已。
確認完損害狀況後，將這台主機關機進行備案。

因為你不會知道有沒有人因為這個網站遭受甚麼危害。

關機後就將它放置一段時間，以備相關單位進行調查。

這時候將專案移轉到其他主機上準備進行運作，

當然原本的專案已經出狀況了，這次的上架需要格外小心，

除了設定檔要注意外，網站上架前必須進行弱掃，

確認無誤後才得以上架!!

<本篇完>