Apache Tomcat服务器版本号隐藏去除

渗透测试时发现有一台服务器的404报错页面中，有Apache Tomcat的版本号信息显示，发生了信息泄露，可能导致服务器被攻击。如下所示：

Apache Tomcat 404 报错页

由于没有该台linux服务器的访问权限账号，找到负责人后，使用其电脑ssh连接服务器后进行操作。解决步骤如下：

1. 找到Tomcat安装目录，进入lib目录，在xshell左侧右键连接打开xftp文件目录，下载lib目录下的catalina.jar包到桌面或其他保存目录。
2. 解压catalina.jar文件后，得到两个目录，进入org/apache/catalina/util目录中。
   catalina.jar解压后目录.png
3. 其中ServerInfo.properties文件存储了版本号，修改ServerInfo.properties文件中的server.info=Apache 和 server.number = 0.0.0.0后保存。
   ServerInfo.properties修改后.png
4. 回到上层目录，选中META-INF和org两个目录，右键添加到压缩文件选项，把zip后缀修改为jar后重新打包成catalina.jar。
5. 在终端中执行./bin/shutdown.sh关闭Tomcat服务器（若无法关闭，可强制关闭：终端执行ps -ef | grep tomcat显示tomcat的进程id，使用kill -9 <id>强制结束tomcat进程）。
6. 在xftp目录中在catalina.jar文件后加上.bak进行备份，防止覆盖后出现问题无法恢复。
7. 把第4步重新打包的catalina.jar文件上传到xftp目录页面进行覆盖替换。
8. 终端下执行./bin/startup.sh重新启动tomcat应用。
9. 重新访问404报错页面，发现版本号信息已去除。
   新的默认`404`报错页面.png

到此，问题解决。 PS：也可以自定义配置404.html页面解决。