1. 敏感信息泄露
Debian Tomcat日志(如catalina.out、localhost.log、manager.log)可能包含敏感信息,包括服务器版本号、访问记录、错误堆栈、调试信息甚至用户凭证(如未加密的用户名/密码)。这些信息一旦泄露,攻击者可针对性发起攻击(如利用已知版本漏洞、推测系统配置)。例如,日志中若记录了SEVERE: ServletException: Password is null,可能暴露用户认证环节的漏洞;若日志级别设置为DEBUG,则会输出更多内部逻辑细节,增加泄露风险。
2. 未经授权的访问尝试
管理后台(如/manager/html)的弱口令或未授权访问尝试会在日志中留下痕迹,常见表现为高频的401 Unauthorized(认证失败)或403 Forbidden(权限不足)状态码。例如,攻击者可能通过暴力破解工具反复尝试admin账号的密码,日志中会出现大量来自同一IP的失败登录记录;若管理后台未限制IP访问,还可能出现来自陌生IP的成功登录记录(如200 OK状态码伴随/manager/html路径)。
3. 恶意文件上传与代码执行
PUT上传漏洞、远程代码执行(RCE)漏洞的利用会在日志中体现为异常请求。例如,CVE-2025-24813(RCE漏洞)会导致日志中出现PUT /path/to/servlet HTTP/1.1请求,且响应状态码为200 OK(成功上传恶意文件);PUT上传漏洞则可能表现为PUT /uploads/malicious.jsp HTTP/1.1请求,后续访问该文件时会触发500 Internal Server Error(因恶意代码执行导致服务器崩溃)。此外,目录遍历漏洞(如../../../../etc/passwd)的尝试也会在访问日志中留下404 Not Found记录,但频繁出现则表明攻击者在探测敏感文件。
4. 异常访问行为
高频异常请求(如大量404 Not Found、并发请求、来自可疑IP的访问)是恶意扫描或DDoS攻击的典型特征。例如,同一IP在短时间内(如1分钟内)发起超过100次GET /admin/login.jsp HTTP/1.1请求,可能是扫描工具在探测管理后台;大量404 Not Found请求(如针对不存在的/wp-admin路径)可能是攻击者在寻找可利用的漏洞;来自境外IP的高频访问(如每秒超过10次)则可能是DDoS攻击的前奏。
5. 配置不当与漏洞利用
目录遍历漏洞(listings=true,允许列出目录文件)会导致日志中出现大量200 OK状态码伴随目录列表的记录(如/var/www/html/下的文件列表);安全管理后台弱口令(如admin/123456)会导致日志中出现成功登录记录(如/manager/html路径的200 OK响应);未禁用AJP端口(默认8009)或热部署(reloadable=true)会导致日志中出现异常连接记录(如AJP协议的SYN_RECEIVED状态)或频繁的reload操作记录(如INFO: Reloading context [/app]),这些都可能被攻击者利用。