[OT] Log4j - klice od pulky internetu

konference na vojtek.biz konference na vojtek.biz
Úterý Prosinec 14 21:48:47 CET 2021


Ano máte pravdu, ale Apache běžícího pod rootem jsem viděl vícekrát než bych
chtěl a budu upřímný doma tam občas nějakou tu prasárnu mám taky.  Kdo má
doma zapnutý se linux? Po pravdě ani všechny produkční stroje, které jsem
viděl ho nemají a ano je to bordel.
Pokud se nainstaluje krypto je to dobře poznat na výkonu - zažil jsem
situaci, kdy bylo napadení serveru detekováno sluchem - hučely ventilatory
:)
Klasicky dnes fungují boty, které standardně skenují internet a snaží se
najít díry. Pokud se u Vás něco najde pokusí se další bot využít
zranitelnost. Zároveň je adresa zanesena do seznamu pro další použití.
Takže Vás budou skenovat častěji. Pokud se posaří najít něco pěkného - nebo
jste zajímavá firma můžete se dostat až  do seznamu, který si někdo koupí a
nebo přímo použije k dalšímu útoku. Pokud mate hodně smůlu můžete se dostat
až pod ruku živému člověku, který začne hledat zajímavé souvislosti.
Samozřejmě většina vyskouší nějaké standardizované postupy a pokud neuspěje,
jde dál. 
Většinou je to o tom, že na tom něco chce vydělat - vydírání, krypto, prodej
údajů .... Pokud je to moc práce jde dál. Ale pokud se objeví něco nového
určitě to u Vás zase časem zkusí.
Je to bohužel už standardní průmysl :( 
A dost koínčím s mudrováním teď už jen maximálně odpověďi.
PS. Nejsem profík jen jich pár znám.
J.V. 


-----Original Message-----
From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Petr Simek
Sent: Tuesday, December 14, 2021 8:40 PM
To: HW-news <hw-list na list.hw.cz>
Subject: RE: [OT] Log4j - klice od pulky internetu

On Tue, 14 Dec 2021, konference na vojtek.biz wrote:

> Pokud tam nemáte něco, co sleduje komunikaci (IDS) - jako ze nejspíš, ne
tak toho moc víc nezjistíte. 
>Můžete projít logy a pustit si po síti nmap a zjistit co všechno máte 
>na jednotlivých adresách otevřené a podívat se připadne dále jestli se 
>to někam nerozezlo.
>Jestli to není moc práce smažte to a dejte tam novy image je to 
>nejbezpečnější.
>Pokud už Vám to totiž ovládli pravděpodobně po sobě uklidili. Malou 
>naději bych vkládal do toho, že to v tom logu zůstalo, ale opravdu jen 
>malou.
>J.V.

Otazka je pod jakymi pravy bezi ta java a ta logovaci knihovna. Jestli pod
uzivatelem apache tak to bude mit jen tyhle prava. A do souboru to dnes
loguje pres systemd volani takze soubory logu s temihle pravy neprepise.
A pokud je tam selinux tak ten omezuje i pristupy mimo adresare kde apache
operuje. Myslim ze toho tolik prepsat nemuze, muze toho hodne precist, napr
skripty kde jsou hesla k databazim a pak je nejak poskodit nebo vycucat. Ale
to uz vyzaduje udelat pruzkum konkretni isnatalace.
Zatim se to vyuziva k instalaci skriptu pro tezbu cryptomen, ty
sofistikovanejsi utoky prijdou az casem.


*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek na jcu.cz                              |
*------------------------------------------------------------------------*



Další informace o konferenci Hw-list