Làm cách nào để kiểm tra xem Log4j đã được cài đặt trên máy chủ của tôi chưa?

Tôi đã đọc về các lỗ hổng bảo mật liên quan đến Log4j.

Làm cách nào để kiểm tra xem Log4j đã được cài đặt trên máy chủ của tôi chưa? Máy chủ cụ thể của tôi sử dụng Ubuntu 18.04.6 LTS.

Tôi đã cài đặt nhiều gói của bên thứ ba và có thể một số gói chứa nó.

Có lệnh chạy trên máy chủ của tôi để kiểm tra xem Log4j đã được cài đặt chưa?

Không có lệnh nào chắc chắn sẽ cho bạn biết điều đó. Một số ứng dụng gửi các thư viện mà chúng sử dụng trực tiếp dưới dạng tệp jar, một số ứng dụng sẽ chứa chúng trong kho lưu trữ.

Và thậm chí sau đó bạn không biết phiên bản nào được xuất xưởng và nó được sử dụng như thế nào. Cách duy nhất để đảm bảo bạn giảm thiểu CVE là đọc các thông báo bảo mật và ghi chú phát hành ứng dụng của bạn và làm theo lời khuyên của họ.

Hãy thử các lệnh này:

• dpkg -l | grep liblog4j

• dpkg -l | nhật ký grep4

• tìm / -tên log4j-core-*.jar

• định vị log4j | grep -v log4js

Tôi đã viết tập lệnh Python này để tìm các phiên bản Log4j2 dễ bị tấn công trên hệ thống của bạn: https://github.com/fox-it/log4j-finder

Nó hoạt động bằng cách quét đĩa và bên trong các tệp Lưu trữ Java theo cách đệ quy và tìm kiếm các tệp xấu đã biết.

log4jscanner

Được Google xuất bản theo Giấy phép Apache-2.0, log4jscanner là trình quét hệ thống tệp có lỗ hổng log4j và gói Go để phân tích các tệp JAR.

Cố gắng syft. Nó tạo ra một hóa đơn nguyên liệu phần mềm (SBOM), sau đó bạn có thể tìm kiếm các phiên bản log4j cũ (thậm chí hoạt động với hình ảnh docker).

Cái gì đó như syft dir:/opt/foo-application | grep log4j tìm kiếm trong triển khai thông thường. syft dir:/ | grep log4j nên hoạt động cho toàn bộ máy chủ của bạn.

Truyền hình ảnh docker của bạn cũng hoạt động:

# syft -q jacobalberty/unifi:5.13.29 | grep log4j
kho lưu trữ java log4j-api 2.12.1
kho lưu trữ java log4j-core 2.12.1
kho lưu trữ java log4j-slf4j-impl 2.12.1
tomcat-embed-logging-log4j 8.5.2 java-archive

Tạo một tập lệnh để chuyển tất cả các hình ảnh docker của bạn sang syft không quá khó, nhưng bạn có thể tìm thấy một số cảm hứng trong các tập lệnh đó của tôi: https://github.com/debuglevel/syft-grype-utils

Xin lỗi vì đã tham khảo tài liệu bên ngoài, tôi hy vọng điều này có thể chấp nhận được trong hoàn cảnh hiện tại.

Thông tin mà Lunasec.io đưa ra về hàm băm của các tệp Java .class nhị phân dễ bị tấn công:

https://github.com/lunasec-io/lunasec/blob/master/tools/log4shell/constants/vulnerablehashes.go

Cũng xem blog của họ: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/

Bạn có nên có ra lệnh băm (một trên mỗi dòng) của các lớp bị nghi ngờ trong một tệp băm và có một tệp jar chủ đề.jar và có giải nén, tìm thấy và sha256sum các lệnh, sau đó bạn có thể so sánh với các giá trị băm đã biết với:

JARFILE=subject.jar; DIROUT=$(mktemp -d); giải nén -qq -DD "$JARFILE" '*.class' -d "$DIROUT" && find "$DIROUT" -type f -not -name "*"$'\n'"*" -name '*.class ' -exec sha256sum "{}" \; | cắt -d" " -f1 | sắp xếp | uniq > "$JARFILE"-băm; rm -rf -- "$DIROUT"

comm -12 băm chủ đề.jar-hashes

Nếu liên lạc có đầu ra, sau đó có một hàm băm phù hợp.

John Hammond cùng với một số người khác đã xuất bản dịch vụ chuyển hướng LDAP được lưu trữ để bạn có thể bỏ qua tất cả các trò tai quái. https://log4shell.hutress.com/

Chỉ đường rất đơn giản - Nó tạo ID ứng dụng khách cho bạn (có trong URL, cũng như một phần của chuỗi đưa vào) mà bạn có thể đăng lên bất kỳ Biểu mẫu/yêu cầu/hoặc dẫn xuất nào của yêu cầu web.

Nói chung, nếu bạn đang chạy bất cứ thứ gì "không hoạt động với cái này vì nó là quyền truy cập cục bộ" thì bạn vẫn ổn vì không có phương tiện nào để chuyển tiếp qua ứng dụng dựa trên java của bạn.

Lưu ý - Tôi tin rằng phần lớn mối quan tâm nên được đặt ở phần cứng quản lý mạng L2/L3; Đặc biệt nếu bạn đang giao dịch với một ISP hoặc nội dung của bạn được cung cấp qua dịch vụ Lưu trữ.

Tất cả các nỗ lực ở đây để giải quyết các lỗ hổng trong log4j đều thất bại. Bạn không thể dựa vào định vị lệnh vì nó chỉ tìm trong một tập hợp các đường dẫn được định cấu hình (/etc/updatedb.conf trên Debian).

Phần mềm có thể tự cài đặt ở những vị trí không được cấu hình trong đã cập nhậtb.conf và hoàn toàn bị bỏ lỡ bởi công việc định kỳ cập nhật cơ sở dữ liệu định vị.

Ngoài ra, người ta cũng phát hiện ra rằng các nhà cung cấp phần mềm (như đàn hồi) đã đóng gói lại JndiLookup.class dễ bị tấn công (ví dụ: elaticsearch-sql-cli-7.16.1.jar) ở những nơi chưa được biết đến trước đây khiến các giải pháp không hoàn chỉnh được xây dựng xung quanh các hàm băm, tên hoặc đường dẫn tệp đã biết.

@shodanshok đang đi đúng hướng ở đây nhưng thay vì tìm kiếm log4j một cách rõ ràng, hãy xem mọi '.jar' trên hệ thống là điều cần thiết.

Cái này đầy đủ hơn, yêu cầu gói zip. và phần mở rộng câu trả lời của shodanshok. Điều này sẽ chỉ hiển thị các vị trí mà JndiLookup.class mã được tìm thấy. Một dòng khác có thể được thêm vào để loại bỏ các lỗ hổng này nhưng tôi muốn để điều đó tùy theo quyết định của quản trị viên. Liên kết đàn hồi ở trên cho thấy cách:

cho jar trong $(find / -name '*.jar'); làm
   giải nén -l "$jar" | grep 'JndiLookup.class' &>/dev/null && echo "Đã tìm thấy lỗ hổng trong $jar"
xong

Ví dụ:

# cho jar trong $(find / -name '*.jar'); làm
> giải nén -l "$jar" | grep 'JndiLookup.class' &>/dev/null && echo "Đã tìm thấy lỗ hổng trong $jar"
> xong
Đã tìm thấy lỗ hổng trong /usr/lib/unifi/lib/log4j-core-2.13.3.jar
Đã tìm thấy lỗ hổng trong /home/minecraft/.m2/repository/org/spigotmc/minecraft-server/1.15.2-SNAPSHOT/minecraft-server-1.15.2-SNAPSHOT.jar
Đã tìm thấy lỗ hổng trong /home/minecraft/.m2/repository/org/spigotmc/minecraft-server/1.15.1-SNAPSHOT/minecraft-server-1.15.1-SNAPSHOT.jar
...

Hãy cảnh giác khi chạy phần mềm này trên hệ thống có hệ thống tệp mạng được gắn kết vì hiệu suất có thể bị ảnh hưởng. Trong những trường hợp đó, bạn cần chạy các lệnh trên chính máy chủ tệp.

Kiểm tra các gói đã cài đặt là không đủ, vì log4j có thể được cài đặt thủ công bởi một số ứng dụng khác.

Đối với các máy chủ Linux, tôi đang sử dụng như sau: tìm / -iname "*log4j*.jar"

Đối với các máy chủ Windows, người ta có thể sử dụng một cái gì đó tương tự như thế: dir C:\*log4j*.jar /s (thay đổi C: đến D: và như vậy cho các đĩa khác).

Tên tệp thường sẽ hiển thị phiên bản thư viện, nhưng để kiểm tra kỹ, bạn có thể mở tệp kê khai và đọc các trường phiên bản/triển khai.

Xin lưu ý rằng ở trên là không đủ để bắt nhúng log4j (ví dụ: trong các tệp jar khác). Đối với những điều này, người ta phải grep chuỗi có liên quan, nhưng điều này khá tốn thời gian và tài nguyên, vì vậy tôi khuyên bạn nên thực hiện tìm kiếm tệp làm bước đầu tiên (nhưng chưa hoàn chỉnh).

lsof kiểm tra các tệp đang mở, được đăng bởi Florian Roth trên Twitter:

phụ trợ ps | egrep '[l]og4j'
lsof | grep log4j

hai lệnh khác nữa, nhưng đây là các lệnh tìm kiếm thường trú, trong bộ nhớ