Seguridad de Tomcat 7: ¿intenta iniciar sesión?

Question

Después de desplegar nuestra aplicación en Tomcat 7 nos dieron un montón de esto:

<date> org.apache.catalina.realm.LockOutRealm authenticate 
WARNING: An attempt was made to authenticate the locked user "admin" 

y en el registro de acceso que hemos encontrado mucha de esto:

91.121.4.141 - - <date> "GET /manager/html HTTP/1.1" 401 2486 

que parece una Francia ISP (OVH SAS).

Entonces, ¿qué está pasando? ¿Intentan iniciar sesión, hacer ping? ¿Es una botnet?

¿Cómo podemos protegernos de estos intentos de inicio de sesión?

Answer 1

Parece un ataque de fuerza bruta contra la aplicación Manager. LockoutRealm ha hecho su trabajo y ha bloqueado al usuario para evitar que el ataque tenga éxito. Sin embargo, significa que el usuario legítimo tampoco podrá iniciar sesión. Suponiendo que los ataques provienen de una sola IP, bloquea esa IP tan pronto como puedas en tu red y sigue adelante.

Answer 2

información útil puede ser es aquí: https://serverfault.com/questions/244614/is-it-normal-to-get-hundreds-of-break-in-attempts-per-day

y la forma de cheque (en CentOS/RedHat) Error

cat /var/log/secure | grep 'sshd.*Invalid' 

Tenido éxito los intentos de entrada

cat /var/log/secure | grep 'sshd.*opened' 

para bloquear a los usuarios, que intentos cada 15 segundos

iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --update --seconds 15 -j DROP 
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set -j ACCEPT 

y completo informe acerca de autenticación

aureport 

y la información de herramientas adicional es aquí

http://www.tecmint.com/5-best-practices-to-secure-and-protect-ssh-server/

Y algunas técnicas de seguridad está aquí

https://wiki.centos.org/HowTos/Network/SecuringSSH