服务器被黑记

apach

这个是tomcat的锅。

凌晨两点的时候收到云提供商发来的信息吵醒，说我的服务器正在对外DDOS攻击，请尽快查明原因。

我赶忙去看了一下服务器。在ftp的上传目录里找到了一个陌生文件（为了方便我的测试，我把ftp的上传目录设置为了tomcat的webapps）。我还以为谁知道了我的ftp的密码，上传了这个东西。然后打开这个文件发现了名为JFolder.jsp的文件，网上查了一下这个东西，什么原理。详细的过程看这里。

最后在用户管理看到了一个陌生的管理员（惊吓脸）！

分析一下这个人能黑进我服务器的原因：

• 这个人知道我的管理员密码（除非服务器厂商泄露，我觉得不可能）
• 这个人知道我的ftp的密码（我用了非官方的ftp上传器，有一定可能泄露。）
• 这个人通过8080端口进入了tomcat界面，破解了tomcat的管理密码，远程上传了木马文件。最终取得管理员权限。（这个最有可能，不过他是怎么破解我的密码的？也不是弱密码啊,我自己测试了一下破解密码并没有三次锁定的机制）

处理结果：
　　修改tomcat的端口，增强密码，删除陌生用户
　　
然而我并不知道这个人还留下了什么后门，只能见招猜招了。