Защита Tomcat 7 - попытка входа в систему?

После развертывания нашего приложения на Tomcat 7 мы получили много этого:

<date> org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "admin"

и в журнале доступа мы нашли много этого:

91.121.4.141 - - <date> "GET /manager/html HTTP/1.1" 401 2486

который кажется французским ISP (OVH SAS).

Итак... что происходит? Они пытаются входить в журнал, пинг? Это ботнет?

Как мы можем защитить от попыток входа?

Ответ 1

Это выглядит как атака грубой силы против приложения Manager. LockoutRealm выполнил свою работу и заблокировал пользователя, чтобы предотвратить успешную атаку. Однако это означает, что законный пользователь также не сможет войти в систему. Предполагая, что атаки происходят от одного IP-адреса, заблокируйте этот IP-адрес как можно раньше в вашей сети и продолжайте.

Ответ 2

Полезная информация может быть здесь: https://serverfault.com/info/244614/is-it-normal-to-get-hundreds-of-break-in-attempts-per-day

и как проверить (на CentOS/RedHat) Ошибка

cat /var/log/secure | grep 'sshd.*Invalid'

Успешные попытки входа в систему

cat /var/log/secure | grep 'sshd.*opened'

чтобы блокировать пользователей, которые каждые 15 секунд предпринимают попытки

iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --update --seconds 15 -j DROP
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set -j ACCEPT

и Полный отчет об Auth

aureport

И информация о дополнительных инструментах здесь

http://www.tecmint.com/5-best-practices-to-secure-and-protect-ssh-server/

И какая-то техника безопасности здесь

https://wiki.centos.org/HowTos/Network/SecuringSSH