톰캣 (Tomcat) catalina.out에 다음과 같은 로그가 대량으로 남아있었다.

2013. 7. 9 오전 11:27:41 org.apache.catalina.realm.LockOutRealm authenticate
경고: An attempt was made to authenticate the locked user "admin"
2013. 7. 9 오전 11:27:41 org.apache.catalina.realm.LockOutRealm authenticate
경고: An attempt was made to authenticate the locked user "admin"
2013. 7. 9 오전 11:27:41 org.apache.catalina.realm.LockOutRealm authenticate
경고: An attempt was made to authenticate the locked user "admin"

7월 2일에도 동일한 로그가 남아있었다.

localhost_access_log.2013-07-09.txt를 확인하니 다음과 같았다.

66.2.49.119 - - [09/Jul/2013:11:27:39 +0900] "GET /manager/html HTTP/1.1" 401 2486
66.2.49.119 - - [09/Jul/2013:11:27:39 +0900] "GET /manager/html HTTP/1.1" 401 2486
66.2.49.119 - - [09/Jul/2013:11:27:40 +0900] "GET /manager/html HTTP/1.1" 401 2486

단순히 Brute force 방식의 해킹 (Hacking) 시도였다.

톰캣 설치 후 매니저 애플리케이션 (Manager Application) 관련 별도의 처리를 해주지 않았지만

디폴트로 비활성화라 문제는 없었을 것으로 생각된다.


활성화해서 사용한다면 해당 IP에 대해 차단하거나


매니저 애플리케이션의 주소를 변경하는 등의 조치가 가능하겠다.

Reference:
http://stackoverflow.com/questions/12367317/tomcat-7-security-attempt-to-login



출처 - http://devday.tistory.com/2853







  • 정말 access 로그에 ip 가 남아있네요 
    여러건이 되서 다 살펴봤더니 아이피가 전부 달라요~ 차단할게 많은거 같아요 
    server.xml 은 톰캣을 restart 해야 적용이 되는거죠? ㅠ 
    (요런 초보적인질문,, 죄송해여 ㅋㅋ )
  • 16895도쿄에나나 
  • 2012-03-15 10:29:55
  • x

  • 넵, 리스타트 하셔야 됩니다. 245.23.xx.* 하시면 256개 한꺼번에 막을 수 있습니다.
  • 163kenu 
  • 2012-03-15 13:16:53
  • x



출처 - https://www.okjsp.net/bbs?seq=186532








tomcat-users.xml에서 "admin" user 등록을 피한다.






Posted by linuxism
,