[OT] Log4j - klice od pulky internetu
konference na vojtek.biz
konference na vojtek.biz
Úterý Prosinec 14 21:48:47 CET 2021
Ano máte pravdu, ale Apache běžícího pod rootem jsem viděl vícekrát než bych
chtěl a budu upřímný doma tam občas nějakou tu prasárnu mám taky. Kdo má
doma zapnutý se linux? Po pravdě ani všechny produkční stroje, které jsem
viděl ho nemají a ano je to bordel.
Pokud se nainstaluje krypto je to dobře poznat na výkonu - zažil jsem
situaci, kdy bylo napadení serveru detekováno sluchem - hučely ventilatory
:)
Klasicky dnes fungují boty, které standardně skenují internet a snaží se
najít díry. Pokud se u Vás něco najde pokusí se další bot využít
zranitelnost. Zároveň je adresa zanesena do seznamu pro další použití.
Takže Vás budou skenovat častěji. Pokud se posaří najít něco pěkného - nebo
jste zajímavá firma můžete se dostat až do seznamu, který si někdo koupí a
nebo přímo použije k dalšímu útoku. Pokud mate hodně smůlu můžete se dostat
až pod ruku živému člověku, který začne hledat zajímavé souvislosti.
Samozřejmě většina vyskouší nějaké standardizované postupy a pokud neuspěje,
jde dál.
Většinou je to o tom, že na tom něco chce vydělat - vydírání, krypto, prodej
údajů .... Pokud je to moc práce jde dál. Ale pokud se objeví něco nového
určitě to u Vás zase časem zkusí.
Je to bohužel už standardní průmysl :(
A dost koínčím s mudrováním teď už jen maximálně odpověďi.
PS. Nejsem profík jen jich pár znám.
J.V.
-----Original Message-----
From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Petr Simek
Sent: Tuesday, December 14, 2021 8:40 PM
To: HW-news <hw-list na list.hw.cz>
Subject: RE: [OT] Log4j - klice od pulky internetu
On Tue, 14 Dec 2021, konference na vojtek.biz wrote:
> Pokud tam nemáte něco, co sleduje komunikaci (IDS) - jako ze nejspíš, ne
tak toho moc víc nezjistíte.
>Můžete projít logy a pustit si po síti nmap a zjistit co všechno máte
>na jednotlivých adresách otevřené a podívat se připadne dále jestli se
>to někam nerozezlo.
>Jestli to není moc práce smažte to a dejte tam novy image je to
>nejbezpečnější.
>Pokud už Vám to totiž ovládli pravděpodobně po sobě uklidili. Malou
>naději bych vkládal do toho, že to v tom logu zůstalo, ale opravdu jen
>malou.
>J.V.
Otazka je pod jakymi pravy bezi ta java a ta logovaci knihovna. Jestli pod
uzivatelem apache tak to bude mit jen tyhle prava. A do souboru to dnes
loguje pres systemd volani takze soubory logu s temihle pravy neprepise.
A pokud je tam selinux tak ten omezuje i pristupy mimo adresare kde apache
operuje. Myslim ze toho tolik prepsat nemuze, muze toho hodne precist, napr
skripty kde jsou hesla k databazim a pak je nejak poskodit nebo vycucat. Ale
to uz vyzaduje udelat pruzkum konkretni isnatalace.
Zatim se to vyuziva k instalaci skriptu pro tezbu cryptomen, ty
sofistikovanejsi utoky prijdou az casem.
*------------------------------------------------------------------------*
| Petr Simek APS JU |
| psimek na jcu.cz |
*------------------------------------------------------------------------*
Další informace o konferenci Hw-list