tomcat - An attempt was made to authenticate the locked user "admin", tomcat-users.xml

톰캣 (Tomcat) catalina.out에 다음과 같은 로그가 대량으로 남아있었다.

2013. 7. 9 오전 11:27:41 org.apache.catalina.realm.LockOutRealm authenticate
경고: An attempt was made to authenticate the locked user "admin"
2013. 7. 9 오전 11:27:41 org.apache.catalina.realm.LockOutRealm authenticate
경고: An attempt was made to authenticate the locked user "admin"
2013. 7. 9 오전 11:27:41 org.apache.catalina.realm.LockOutRealm authenticate
경고: An attempt was made to authenticate the locked user "admin"

7월 2일에도 동일한 로그가 남아있었다.

localhost_access_log.2013-07-09.txt를 확인하니 다음과 같았다.

66.2.49.119 - - [09/Jul/2013:11:27:39 +0900] "GET /manager/html HTTP/1.1" 401 2486
66.2.49.119 - - [09/Jul/2013:11:27:39 +0900] "GET /manager/html HTTP/1.1" 401 2486
66.2.49.119 - - [09/Jul/2013:11:27:40 +0900] "GET /manager/html HTTP/1.1" 401 2486

단순히 Brute force 방식의 해킹 (Hacking) 시도였다.

톰캣 설치 후 매니저 애플리케이션 (Manager Application) 관련 별도의 처리를 해주지 않았지만

디폴트로 비활성화라 문제는 없었을 것으로 생각된다.

활성화해서 사용한다면 해당 IP에 대해 차단하거나

매니저 애플리케이션의 주소를 변경하는 등의 조치가 가능하겠다.

Reference:
http://stackoverflow.com/questions/12367317/tomcat-7-security-attempt-to-login

출처 - http://devday.tistory.com/2853

---

• access log 보시고 ip를 valve로 차단하세요. server.xml에서 설정 가능합니다. 
  http://www.devwing.net/blog?PostNo=43 
  
• kenu 
• 2012-03-15 02:47:51
• x

• 정말 access 로그에 ip 가 남아있네요 
  여러건이 되서 다 살펴봤더니 아이피가 전부 달라요~ 차단할게 많은거 같아요 
  server.xml 은 톰캣을 restart 해야 적용이 되는거죠? ㅠ 
  (요런 초보적인질문,, 죄송해여 ㅋㅋ )
• 도쿄에나나 
• 2012-03-15 10:29:55
• x

• 넵, 리스타트 하셔야 됩니다. 245.23.xx.* 하시면 256개 한꺼번에 막을 수 있습니다.
• kenu 
• 2012-03-15 13:16:53
• x

출처 - https://www.okjsp.net/bbs?seq=186532

---

tomcat-users.xml에서 "admin" user 등록을 피한다.