背景:
使用tomcat7,查看logs下日志:tomcat7-stderr.2013-04-03.log 发现很多警告:
2013-4-9 5:23:14 org.apache.catalina.realm.LockOutRealm authenticate
警告: An attempt was made to authenticate the locked user "tomcat"
http://stackoverflow.com/questions/12367317/tomcat-7-security-attempt-to-login
上说:有人在暴力破解我的tomcat管理账户。可以通过禁止ip的方式阻止访问。(其实也可以直接删除登陆用户在tomcat-user.xml中,或者删除manager.html)
查看localhost_access_log.2013-04-07.txt找到异常访问记录:
218.249.78.2 - - [05/Apr/2013:03:33:35 +0800] "GET /manager/html HTTP/1.1" 401 2550
218.85.138.211 - - [07/Apr/2013:08:17:46 +0800] "GET /manager/html HTTP/1.1" 401 2550
103.20.195.234 - - [05/Apr/2013:15:25:21 +0800] "GET /manager/html HTTP/1.1" 401 2550。
操作方法:
http://snow8261.iteye.com/blog/725547
比较复杂,还是linux改配置比较简单
步骤1:打开“控制面板→管理工具→本地安全策略”,然后右击“IP安全策略,在本地机器”选“管理IP筛选器和IP筛选器操作”,取消选中“使用添加向导”,在管理IP筛选器和IP筛选器操作,列表中添加一个新的过滤规则,名称输入“拒绝访问”,然后按添加,在源地址选“一个特定的IP地址”在IP地址中填入218.18.217.142,目标地址选我的IP地址,协议类型为“任意”,去掉“镜像。同时...”前面的对勾,设置完毕。
步骤2:在“管理筛选器操作”,取消选中“使用添加向导”,添加,在常规中输入名字“阻止”,安全措施为“阻止”。确定。
步骤3:点击“IP安全策略,在本地机器”,选择“创建IP安全策略-下一步-输入名称为“拒绝218.18.217.142访问”,取消选中“激活默认相应规则”,完成。
在弹出来的“拒绝访问 属性”窗口中,(补充:在规则选项卡,取消选择“使用添加向导”,后点击添加)在IP筛选器列表中选择“拒绝访问”,在筛选期操作中选择“阻止”,确定,然后右击“拒绝218.18.217.142访问”并启用。
完成! 如果将步骤1中的源地址选为“任何IP地址”,目标地址选“我的IP地址”,协议选“ICMP”,可以防止别人的PING攻击,也就是说外人根本ping不通你!!