[OT] Log4j - klice od pulky internetu
Petr Simek
psimek na jcu.cz
Úterý Prosinec 14 20:39:50 CET 2021
On Tue, 14 Dec 2021, konference na vojtek.biz wrote:
> Pokud tam nemáte něco, co sleduje komunikaci (IDS) - jako ze nejspíš, ne tak toho moc víc nezjistíte.
>Můžete projít logy a pustit si po síti nmap a zjistit co všechno máte na
>jednotlivých adresách otevřené a podívat se připadne dále jestli se to
>někam nerozezlo.
>Jestli to není moc práce smažte to a dejte tam novy image je to
>nejbezpečnější.
>Pokud už Vám to totiž ovládli pravděpodobně po sobě uklidili. Malou
>naději bych vkládal do toho, že to v tom logu zůstalo, ale opravdu jen
>malou.
>J.V.
Otazka je pod jakymi pravy bezi ta java a ta logovaci knihovna. Jestli pod
uzivatelem apache tak to bude mit jen tyhle prava. A do souboru to dnes
loguje pres systemd volani takze soubory logu s temihle pravy neprepise.
A pokud je tam selinux tak ten omezuje i pristupy mimo adresare kde
apache operuje. Myslim ze toho tolik prepsat nemuze, muze toho hodne
precist, napr skripty kde jsou hesla k databazim a pak je nejak poskodit
nebo vycucat. Ale to uz vyzaduje udelat pruzkum konkretni isnatalace.
Zatim se to vyuziva k instalaci skriptu pro tezbu cryptomen, ty
sofistikovanejsi utoky prijdou az casem.
*------------------------------------------------------------------------*
| Petr Simek APS JU |
| psimek na jcu.cz |
*------------------------------------------------------------------------*
Další informace o konferenci Hw-list