什么是 Log4Shell 以及如何保护您的 Linux 系统免受它的侵害

许多网络安全研究人员和专家将 Log4Shell (CVE-2021-44228) 漏洞描述为有史以来最严重的零日漏洞。 它影响了一个名为 Log4j 的广泛使用的 Java 实用程序,该实用程序自 2001 年以来一直存在,用于记录和通信事件,例如例行系统操作和软件错误。 在这里,我们向您展示如何保护您的 Linux 系统免受它的侵害。

内容

Log4Shell 漏洞是如何工作的?

从根本上说,该漏洞是由不正确的输入验证引起的。 当软件没有正确验证它接收到的数据时会发生这种情况,从而导致可能的漏洞,因为错误验证的输入可用于使程序执行它不应该执行的操作。

Log4Shell 专门利用 Log4j 发送到服务器的请求,利用 LDAP 和 JNDI。 通过利用这些请求,攻击者可以在任何易受攻击的系统上执行代码,这可能导致恶意行为者完全控制系统并能够安装勒索软件或窃取数据。


Log4Shell 有什么影响?

由于 Java 是一种非常流行的编程语言,许多用 Java 编写的使用 Log4j 进行日志记录功能的软件都会受到此漏洞的影响。 受此漏洞影响的一些最知名和最常用的软件包括 Apache 以及名为 Minecraft 的电子游戏。

如何知道哪些软件受到影响?

Log4Shell 与任何其他网络安全漏洞一样,可以通过修补受其影响的软件来缓解。 但是,Log4Shell 的情况有点独特,因为它影响的软件范围如此之广,而且很难列出受影响和不受影响的内容。

幸运的是,荷兰国家网络安全中心发布了一份关于 GitHub,其中包括由不同组织开发的软件的名称,表明它们是否容易受到 Log4Shell 的攻击。

如何扫描您的 Apache 漏洞服务器

由于此漏洞极大地影响了网络安全和软件社区,因此管理员可以使用工具来扫描其服务器以查找漏洞也就不足为奇了。

一种这样的扫描仪是 Log4j-RCE-扫描仪,它允许您扫描远程命令执行漏洞 Apache Log4j 在多个地址。

安装 Log4j-RCE-Scanner

在开始之前,我们需要安装它的依赖, httpxcurl.

Curl 可以使用以下命令轻松安装在基于 Ubuntu 和 Debian 的系统上 apt 命令:

curl  依赖安装

在 Arch Linux 上也可以使用 pacman 命令:

在 CentOS 和 Fedora 安装使用 yum 命令:

可以使用以下命令安装 httpx:

httpx 依赖 git clone

安装所有必要的依赖项后,克隆 Log4J-RCE-Scanner 存储库:

bash  apache log4j rce 扫描器 git clone

访问新创建的目录:

最后,为 Bash 脚本添加必要的可执行权限:

bash  apache log4j rce 扫描仪 chmod

使用 Log4j-RCE-Scanner

安装扫描仪后,您终于可以开始实际使用它的有趣部分了。

通过键入以下内容阅读脚本的帮助部分:

bash  apache log4j rce 扫描器帮助

现在,您可以扫描您的 Apache Log4shell 漏洞的服务器。

您可以使用 -d-b 标志。 如果您的域易受攻击,则会将带有易受攻击域名的 DNS 回调发送到 打嗝合作者.

或者, -l flag 也可用于指定域列表。

bash  apache log4j 扫描仪测试扫描

安装和使用基于 Python 的扫描器

如果您更喜欢使用 Python 脚本,则可以使用 log4-扫描仪,由美国网络安全和基础设施安全局开发。

要安装它:

访问目录:

您可以使用基于 Python 的安装所需的依赖项 pip3 命令:

python log4j rce 扫描器 git clone

您可以使用以下命令查看脚本提供的“帮助” -h 旗帜:

python apache log4j rce扫描仪帮助

扫描单个 URL 很简单,可以使用 -u 旗帜:

python apache log4j rce扫描仪单次扫描

您还可以使用 -l 旗帜:

python apache log4j rce扫描仪列表扫描

如何修补 Apache

为了对抗这个漏洞,保持你的 Apache 配置最新。

检查版本 Apache 可以通过多种方式完成:通过从管理面板(例如 CPanel 或 WebHost Manager)进行检查。 您还可以通过运行 httpd 命令与 -v 旗帜:

Apache 可以使用 apt Debian 和 Ubuntu 系统上的命令:

同样的结果也可以使用 yum CentOS 上的命令:

经常问的问题

1、哪些版本的Log4j受到漏洞影响?

低于 2.1.7.1 的版本容易受到攻击。 2.15.0 版修复了最容易被利用的元素,2.17.1 版修复了一个难以利用的远程代码执行漏洞。

2. 我是否需要 Burp Collaborator 实用程序来接收带有易受攻击域名的 DNS 回调?

根据基于 Bash 的扫描程序的开发人员的说法,Burp Collaborator 与脚本本身一起使用,以接收带有易受攻击域名的 DNS 回调。 或者,可以使用 Interact.sh 地址。

3. 使用基于 Bash 的扫描器是否需要其他依赖项?

对于基本用法,您只需要在系统上安装 httpx 和 Curl 作为依赖项。 但是,要解锁某些功能,您还需要 子查找器, 资产查找器, 和 积累 要安装。

订阅我们的新闻!

我们最新的教程直接发送到您的收件箱

注册所有时事通讯。 注册即表示您同意我们的隐私政策并且欧洲用户同意数据传输政策。 我们不会共享您的数据,您可以随时取消订阅。 订阅