Hate-被破台

硍～

才剛裝不到一個禮拜的 Server 就被破台

喵的

原因是安裝 Tomcat 的時候沒設定管理密碼

所以從 Tomcat 的管理介面上傳 JSP 木馬（jShell, jFoler, jsp File Browser）

在利用 jsp 木馬去執行 shell command

就可以新增 user

解決方法

去改 conf\tomcat-users.xml 設定 admin 的密碼

直接幹掉 \webapps 底下的 host-manager, manager

所以不能隨便當大牛

因為大牛比較懶。

延伸閱讀

• JavaWorld@TW - tomcat被駭了