Tomcat服務預設啟用了管理後臺功能，使用該後臺可直接上傳 war 檔案包對站點進行部署和管理。由於運維人員的疏忽，可能導致管理後臺存在空口令或者弱口令的漏洞，使得黑客或者不法分子可以利用該漏洞直接上傳 Webshell 指令碼導致伺服器淪陷。

黑客通過猜解到的口令登入 Tomcat 管理後臺後，可以上傳 Webshell 指令碼導致伺服器被入侵。

安全加固方案

由於此型別漏洞可能對業務系統造成比較嚴重的危害，建議您針對 Tomcat 管理後臺進行以下安全加固配置。

1. 網路訪問控制

• 如果您的業務不需要使用 Tomcat 管理後臺管理業務程式碼，建議您使用安全組防火牆功能對管理後臺 URL 地址進行攔截，或直接將 Tomcat 部署目錄中 webapps 資料夾中的 manager、host-manager 資料夾全部刪除，並註釋 Tomcat 目錄中 conf 資料夾中的 tomcat-users.xml 檔案中的所有程式碼。

• 如果您的業務系統確實需要使用 Tomcat 管理後臺進行業務程式碼的釋出和管理，建議為 Tomcat 管理後臺配置強口令，並修改預設 admin 使用者，且密碼長度不低於10位，必須包含大寫字母、特殊符號、數字組合。

2. 開啟 Tomcat 的訪問日誌

修改 conf/server.xml 檔案，將下列程式碼取消註釋：

1. <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
2. prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>

啟用訪問日誌功能，重啟 Tomcat 服務後，在 tomcat_home/logs 資料夾中就可以看到訪問日誌。

3. Tomcat 預設帳號安全

修改 Tomcat 安裝目錄 conf 下的 tomcat-user.xml 檔案，重新設定複雜口令並儲存檔案。重啟 Tomcat 服務後，新口令即生效。

4. 修改預設訪問埠

修改 conf/server.xml 檔案把預設的 8080 訪問埠改成其它埠。

5. 重定向錯誤頁面

修改訪問 Tomcat 錯誤頁面的返回資訊，在 webapps\manger 目錄中建立相應的401.html、404.htm、500.htm 檔案，然後在 conf/web.xml 檔案的最後一行之前新增下列程式碼：

1. <error-page>
2. <error-code>401</error-code>
3. <location>/401.htm</location>
4. </error-page>
5. <error-page>
6. <error-code>404</error-code>
7. <location>/404.htm</location>
8. </error-page>
9. <error-page>
10. <error-code>500</error-code>
11. <location>/500.htm</location>
12. </error-page>

6. 禁止列出目錄

防止直接訪問目錄時由於找不到預設頁面，而列出目錄下的檔案的情況。

在 web.xml 檔案中，將<param-name>listings</param-name>改成<param-name>false</param-name>。

7. 刪除文件和示例程式

刪除 webapps 目錄下的 docs、examples、manager、ROOT、host-manager 資料夾。