在linux下tomcat5.0.28的安全问题

现在的问题是这样的,系统管理员安装的服务器,现在tomcat是用root用户启动的服务.最近我发现tomcat的webapps下有些不明的war文件,很多个,里面大致都是jsp文件,用于显示服务器的信息情况和可以直接查看修改文件,可以删除文件,也可以连接数据库的东西,因为我们有些项目应用被他们不规范的放在webapps里面,里面也有数据库密码这些被外面的人通过这种方式知道了.
另外我查看/var/logs/messages里面的也有很多ip在尝试登录ssh,这些ip都是各地都有,有国外的,长沙的,重庆的,等.现在我不明白的是这个war文件是怎样传上来的,因为系统管理员把8080端品没关掉,我们是用的8009和apache配合就可以的,里面有admin和manager这两个目录没有去掉,但奇怪的是我记得以前我默认的tomcat里面的tomcat-users.xml 这个是没有admin,manager角色的,但我现在去看这个又加上了这个admin,amager的角色,还有一个admin的用户,应该是用户通过这个弄的,但我现在找半天也没见到哪里可以上传这个war上来的地方,大家能告诉我一下,我这种情况的安全问题是出在哪里了吗?现在是要找到这个安全问题具体是哪一步引的,我怕我去掉了admin,manager目录和8080端口,更改了ssh默认端口这些,以后还会有问题.就怕tomcat5.0有什么潜在的安全问题.
[b]问题补充：[/b]
关键是我记得默认情况下我这个tomcat-users.xml里是没有admin,manager角色的,后来我看这个文件里有这个角色了,这是怎么回事?会不会是因为这个tomcat还有其它地方有安全隐患呢?
[b]问题补充：[/b]
to: hjgundam
哎,现在的问题是,我也修改过,日期看不出来了,tomcat-users.xml权限是:-rw-r--r--
[b]问题补充：[/b]
to:congji2002
用tomcat里的admin真的可以上传war文件吗?因为我这里真的想确定到底是用户侵入了,上传的war文件,修改的tomcat-users.xml文件,还是通过默认的admin进入了,上传的war,再用jsp来做的一步侵入工作.
[b]问题补充：[/b]
晕得我想死,原来系统管理员自己测试把admin和manager的管理角色打开了,而且管理的用户名和密码都是admin.这样人家侵入就非常方便了....
http://hi.baidu.com/rosicky311/blog/item/27ef998227deefbb6c8119d8.html
这里说的就是这种入侵方式,哎....