调试易

SQL注入是最常见的。
你页面上的查询参数送数据库查询的时候，数据库都用的PreparedStatement的吗？如果不是，就有漏洞。

sql注入他就能上传文件了？  他是怎么把木马传到我的服务器上的呢？

SQL注入至少有以下途径可以达到目的：
注入特权SQL指令，掌控数据库，从数据库上获取操作系统信息，从数据库上以外部进程方式执行任意操作系统命令

可以用PreparedStatement操作SQL,并且可以创建一个方法判断SQL的变量里有没有注入的关键字

他上传了一个jsp的war打包文件。  注入sql后能上传这个是吗？

‘屁’呀。根本就是你服务器设置的问题，你用的是不是tomcat啊，你tomcat的管理员密码 太简单，默认了。估计是admin.别人可以猜到了的话，就可以在tomcat里面的一个web站点 上传war部署项目。而war里面就可能是带有木马的，例如灰鸽子。当你的war包被自动解压时候，这个木马就运行了。灰鸽子等木马就可以看见操作你的硬盘等等。
你把密码设复杂点啊，或者把tomcat里面的root、manager换个复杂的目录啊，或者改名字。但是还是没用的，因为manager里面上传war，是有上传漏洞的，用那些扫描工具可以扫出来。 最好就是把你的密码设置好复杂点，同时把目录换一下改下名字。为什么我知道呢，因为我也遇到过，自己也试验过。

你身为开发人员 不知道，可以通过tomcat服务器web 自带的manager登录上传war包  部署项目，该检讨下了。  密码还 设 那么简单

或者你不需要那些远程部署项目的话，直接删除掉root、manager。但是也不是一定是manager上传war的漏洞，但是99.99%是这个原因。
还可能是你的里面的web站点程序，里面也有上传的功能，但是呢，存在安全漏洞，文件类型没有做控制<exe,bat,rar>，或者被上传了，带有木马的文件<jpg,txt>等。

你先确定他是怎么侵入你系统的。说不定你Windows（从3389端口推测）本身的管理员帐户密码就太弱智了。然后系统所有的服务，比如tomcat，数据库什么的，建议都建立新的windows账户来运行，这个账户只有相关目录的读写执行权限，而不是默认的“本地系统”。比如对方写了个jsp，war上传，发布。jsp中间有
Runtime.getRuntime().exec("NET USER newadmin password /add");
Runtime.getRuntime().exec("NET LOCALGROUP administrators /add newadmin");
这样类似的命令（具体可能有出入）。如果运行tomcat服务的账户有相关添加用户的权限，就可以添加一个名为newadmin的管理员帐户。对方就可以直接远程登录了。

修改web服务器的用户名和密码，从而提高安全性，学习了，哈哈

关闭所有非必须端口，最好服务器挂在专业防火墙后。
tomcat使用低权限账户启动，只有读写必须目录即允许必须程序的权限即可。
修复程序中的漏洞，如sql注入，上传无权限控制等。

因为很久前 有段时间 无聊也在研究这个啥黑客技术<菜鸟，呵>，在一个黑客技术论坛里面看到过，这个类似的视频。
也是先扫描网段，搜索服务器，或者指定网站或IP，那软件自动搜索分析可能存在的一些漏洞，视频里面就对一个tomcat服务器做了入侵，也是由于密码太简单，直接admin进去，上传一个有什么黑客软件生成的灰鸽子类型的病毒war,上传后war自动解压，如果有杀毒软件可能会报警提示。我想是自动解压部署后你机器就中毒了，而不是再由网页访问刚才上传的网站。灰鸽子类型的木马我测试玩过，可以完全控制中毒机器，桌面以及磁盘，蛮危险的。所以 服务器还是装点杀毒的吧，该打的系统补丁打上。密码别太简单。使用低权限账户。或者删除、改名字、换目录manager。

你这个有可能是tomacat的后台manager的用户名密码是弱密码  然后有人利用发布war网站包，所以就被入侵了。