Sécurité Tomcat 7 - tentative de connexion?

Après le déploiement de notre application sur Tomcat 7 nous avons eu beaucoup de ceci:

<date> org.apache.catalina.realm.LockOutRealm authenticate
WARNING: An attempt was made to authenticate the locked user "admin"

et dans le journal des accès, nous avons trouvé beaucoup:

91.121.4.141 - - <date> "GET /manager/html HTTP/1.1" 401 2486

qui semble une france FAI (OVH SAS).

Donc.. ce qu'il se passe? Sont-ils essayer de se connecter, de ping? Est-il un botnet?

Comment pouvons-nous protéger de ce les tentatives de connexion?

source d'informationauteur Enrichman

  1. 11

    Qui ressemble à une attaque en force contre le Gestionnaire d'applications. Le LockoutRealm a fait son travail et verrouillé à l'utilisateur de les prévenir de l'attaque de la réussite. Toutefois, il signifie que l'utilisateur légitime ne sera pas en mesure de se connecter. En supposant que les attaques informatiques sont à venir à partir d'une seule adresse IP, bloc IP dès que vous le pouvez dans votre réseau et de progresser.

  2. 0

    informations utiles peut-être, c'est ici:
    https://serverfault.com/questions/244614/is-it-normal-to-get-hundreds-of-break-in-attempts-per-day

    et comment vérifier (sur CentOS/RedHat)
    Échoué 

    cat /var/log/secure | grep 'sshd.*Invalid'

    Réussi tentatives de connexion

    cat /var/log/secure | grep 'sshd.*opened'

    de bloquer les utilisateurs qui tente toutes les 15 secondes

    iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --update --seconds 15 -j DROP
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set -j ACCEPT

    et le rapport Complet sur Auth

    aureport

    Et d'autres outils de l'info est ici

    http://www.tecmint.com/5-best-practices-to-secure-and-protect-ssh-server/

    Et une certaine sécurité technics est ici

    https://wiki.centos.org/HowTos/Network/SecuringSSH