После установки Tomcat, прежде чем я даже изменил пароль Tomcat Manager по умолчанию, злоумышленник использовал Tomcat Manager для развертывания своего программного обеспечения. Наверное, какие-то инструменты DDOS и файловый менеджер.
Я уже удалил подозрительное программное обеспечение java, изменил все пароли пользователей. Вход в систему с правами root через ssh запрещен.
Как мне действовать сейчас, чтобы обеспечить безопасность сервера?
Что мне нужно проверить? Как отследить любую другую подозреваемую активность?
Отвечу на ваш первый вопрос:
Как мне действовать сейчас, чтобы обеспечить безопасность сервера?
Даже не пытайтесь его очистить, если можете. Просто переустановите ОС и на этот раз настройте правила брандмауэра, которые блокируют доступ к диспетчеру Tomcat, кроме как с вашего текущего IP-адреса. Еще лучше просто заблокировать все, кроме SSH, и туннелировать на сервер, а затем получить доступ к Tomcat Manager через туннель.
Я думаю, вам также следует прочитать документацию для Настройка Tomcat Manager.