Debian Tomcat日志识别攻击尝试的实用指南
一 日志位置与关键文件
- 常见路径(按安装方式不同可能为**/var/log/tomcat*/或/opt/tomcat/logs/**):
- 运行与异常:catalina.out、localhost.log
- 访问日志:localhost_access_log.*.txt(记录客户端IP、时间、方法、URL、状态码等)
- 配置:/opt/tomcat/conf/server.xml(连接器、端口、AJP等)、/opt/tomcat/conf/logging.properties(日志级别与滚动)
- 建议先用以下命令快速确认文件与实时输出:
- 实时查看:tail -f /var/log/tomcat/catalina.out*
- 访问日志样例:head /var/log/tomcat/localhost_access_log..txt
- 错误与告警:grep -iE “ERROR|WARN” /var/log/tomcat/catalina.out*
二 快速判别思路与高频信号
- 访问日志(localhost_access_log)异常模式
- 高频404:目录/文件探测(如大量对**/admin/、/manager/、/wp-、/.git/**的访问)
- 大量401/403:口令猜测、越权访问尝试
- 同一来源短时高并发:疑似DoS/暴力扫描
- 可疑路径与文件:如**/shell.jsp、/cmd.jsp、/uploads/xxx.php、/phpmyadmin/、/manager/html**等
- 可疑参数与编码:含union select、select * from、’ or ‘1’='1、
