[OT] Log4j - klice od pulky internetu

[Petr Simek]

On Tue, 14 Dec 2021, konference na vojtek.biz wrote:

> Pokud tam nemáte něco, co sleduje komunikaci (IDS) - jako ze nejspíš, ne tak toho moc víc nezjistíte. 
>Můžete projít logy a pustit si po síti nmap a zjistit co všechno máte na 
>jednotlivých adresách otevřené a podívat se připadne dále jestli se to 
>někam nerozezlo.
>Jestli to není moc práce smažte to a dejte tam novy image je to 
>nejbezpečnější.
>Pokud už Vám to totiž ovládli pravděpodobně po sobě uklidili. Malou 
>naději bych vkládal do toho, že to v tom logu zůstalo, ale opravdu jen 
>malou.
>J.V.

Otazka je pod jakymi pravy bezi ta java a ta logovaci knihovna. Jestli pod
uzivatelem apache tak to bude mit jen tyhle prava. A do souboru to dnes
loguje pres systemd volani takze soubory logu s temihle pravy neprepise.
A pokud je tam selinux tak ten omezuje i pristupy mimo adresare kde
apache operuje. Myslim ze toho tolik prepsat nemuze, muze toho hodne
precist, napr skripty kde jsou hesla k databazim a pak je nejak poskodit
nebo vycucat. Ale to uz vyzaduje udelat pruzkum konkretni isnatalace.
Zatim se to vyuziva k instalaci skriptu pro tezbu cryptomen, ty 
sofistikovanejsi utoky prijdou az casem.


*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek na jcu.cz                              |
*------------------------------------------------------------------------*