Tomcat Manager: umbebannt, zurückbenannt, jetzt nur noch 403-Fehler

[berdy]

Ich habe ein Problem mit einem Tomcat 9 unter Ubuntu 16. Der Manager war nach außen freigeben und Accountdaten hinterlegt, so dass man per /manager/html/list auf die Oberfläche kam und z.B. per Maven ein Deployment via API auf den Tomcat machen konnte.

Jetzt gab es plötzlich einen Bruteforce-Angriff auf den Manager (im Apache-Log sekündliche Aufrufe festgestellt). Also habe ich auf die Schnelle im /webapp - Ordner des Tomcat den Folder "manager" in "manager_" umbenannt. Nach einer Weile habe ich ihn zurückbenannt, jetzt erscheint jedoch beim Aufruf nur noch ein 403-Fehler - not authorized.

Natürlich habe ich den Tomcat mit /etc/init.d/tomcat9 restart einmal neu gestartet. Sogar einmal komplett den betreffenden Server.

Nichts hilft. Wer hat eine Idee, woran das liegen kann?

 

[lordofdonuts]

Hallo berdy,

von wo kommst du nicht mehr auf den tomcat? Vom internen Netz, vom externen... ?
Kann es sein, dass die restliche IT dazwischenfunkt, ist dein Server privat oder beruflich? Hängt ein Apache dazwischen, der die Requests abblockt?

 

[berdy]

Hallo lordofdonuts,

ich komme von extern nicht mehr auf den Server. Intern kann ich in diesem Moment nicht testen. Es kann m.E. keine restliche IT dazwischenfunken, der Request kommt nur durch den Apache durch (und taucht dort im Logfile auf) und die Fehlermeldung stammt direkt vom Tomcat und sieht so aus:
https://assets.pentesterlab.com/axis2_and_tomcat_manager/access-denied.png

Ich vermute das der LockoutRealm da mit reinspielt. Mir ist bewusst, dass der Tomcat den Zugang für 5 Minuten nach zu vielen falschen Passworteingaben sperrt. Es sieht aber so aus, als wäre diese Sperrung permanent. Momentan gibt es - außer von mir - auch keine Zugriffe auf den Manager laut Apache-Logfiles. Ich habe unter tomcat-users.xml inzwischen auch den entsprechenden User-Namen für den Zugang zum Manager geändert, dachte Tomcat cached vielleicht irgendwo Sperrinfos zu den Nutzernamen. Aber das Login-Fenster wird mir nicht mal präsentiert, es kommt sofort der 403 Fehler beim Aufruf der Seite.

 

[lordofdonuts]

Überpüfe mal dein context.xml für die manager app.
Das sollte so aussehen:

<Context path="" antiResourceLocking="false" />

 

[berdy]

Sieht so aus:

<Context antiResourceLocking="false" privileged="true" >

<Valve className="org.apache.catalina.valves.RemoteAddrValve"/>

</Context>

 

[berdy]

Ich bin gerade mal mit dem TextMode-Browser "links" direkt vom System aus über 127.0.0.1/manager/html/list drauf gegangen, auch da sehe ich nur die 403-Seite.

 

[lordofdonuts]

Und was passiert, wenn du aus dem context.xml den Valve auskommentierst?

 

[berdy]

Ich kapiere nicht warum. Aber mit auskommentierter Valve funktioniert alles wieder perfekt. Danke, lordofdonuts! Du hast mir enorm weitergeholfen...

 

[lordofdonuts]

Falls ein Valve konfiguriert wird, muss man normalerweise einen Parameter mit den erlaubten IP-Adresse angeben, der war in deinem Fall leer. Also auch kein Zugriff von localhost erlaubt. Vermutlich war das der Grund.

Also z.B. so

<Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1" />

"deny" zum Aussperren gibt's übrigens auch. Freut mich, dass es nun klappt.