瘋人院院長院內消息

硍～ 才剛裝不到一個禮拜的 Server 就被破台 喵的 原因是安裝 Tomcat 的時候沒設定管理密碼 所以從 Tomcat 的管理介面上傳 JSP 木馬（jShell, jFoler, jsp File Browser） 在利用 jsp 木馬去執行 shell command 就可以新增 user 解決方法 去改 conf\tomcat-users.xml 設定 admin 的密碼 直接幹掉 \webapps 底下的 host-manager, manager 所以不能隨便當大牛 因為大牛比較懶。 延伸閱讀 JavaWorld@TW – tomcat被駭了