Hi!
schaut mal auf eure ganzen Server die Java laufen haben, es ist sehr wahrscheinlich, dass die von der log4j RCE betroffen sind. Auch so Sachen wie Minecraft, Jisti oder alles was in der nähe von einem tomcat ist sind betroffen. Hier die Details:
https://www.lunasec.io/docs/blog/log4j-zero-day/
Wir sehen seit heute in der früh Angriffe auf unsere Systeme von vielen IPs .. es haben auch leute schon eine Liste der IPs zusammengetragen https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217. Für mod_security hätte ich hier eine Rule zum temporären blocken https://robert.penz.name/1602/modsecurity-rule-to-filter-cve-2021-44228-logjam-log4shell/ und für Jitsi auch einen temporären fix: https://robert.penz.name/1595/jitsi-workaround-for-cve-2021-44228-logjam/
und hier ein Beispiel wie das ausschaut - russische IP die es bei
uns probiert die ganze Zeit.
sg,
Robert
--
Tipp: Stammtischkalender (Google-Kalender) "linuxuser...@gmail.com"
in die eigene Terminverwaltung einbinden. Siehe: http://www.lugt.at/p/stammtisch.html
---
Sie erhalten diese Nachricht, weil Sie in Google Groups E-Mails von der Gruppe "Linux User Group Tirol" abonniert haben.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an linuxusergroupt...@googlegroups.com.
Wenn Sie diese Diskussion im Web verfolgen möchten, rufen Sie https://groups.google.com/d/msgid/linuxusergrouptirol/b049eb95-4dc7-096c-14ab-31a065ef1c46%40penz.name auf.
Hi!
das wird nicht bei dem Freitag bleiben. Wir haben in unserem
zentralen Backup nach den log4j Dateien gesucht und man glaubt
nicht wer das aller hat. Beispiele gefällig? Vmware Vcenter,
elasticsearch, graylog, apache solar, oracle dbs und webforms,
grafana ... ich bin mir sicher jeder setzt irgendwas ein das von
der Sache betroffen ist.
ps: bei Cloudflare aufpassen, dass der Webserver nur von Cloudflare IPs erreichbar ist. Weil die Angreifer gehen über alle IPv4 IPs und kommen somit auch direkt hin.
sg,
Robert
Wenn Sie diese Diskussion im Web verfolgen möchten, rufen Sie https://groups.google.com/d/msgid/linuxusergrouptirol/CAAue4xwoA4mbKitcHw%3DFHQTLZjq0eg%2BpseiY8KLgsuc%3DQGh86g%40mail.gmail.com auf.
Hi!
Hier gibt es noch ein gutes write-up für detection und IR: https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
was für den Richard dann wohl ;-)
sg,
Robert
das wird nicht bei dem Freitag bleiben. Wir haben in unserem zentralen Backup nach den log4j Dateien gesucht und man glaubt nicht wer das aller hat. Beispiele gefällig? Vmware Vcenter, elasticsearch, graylog, apache solar, oracle dbs und webforms, grafana ... ich bin mir sicher jeder setzt irgendwas ein das von der Sache betroffen ist.
--
Tipp: Stammtischkalender (Google-Kalender) "linuxuser...@gmail.com"
in die eigene Terminverwaltung einbinden. Siehe: http://www.lugt.at/p/stammtisch.html
---
Sie erhalten diese Nachricht, weil Sie Mitglied der Google Groups-Gruppe "Linux User Group Tirol" sind.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an linuxusergroupt...@googlegroups.com.
Besuchen Sie https://groups.google.com/d/msgid/linuxusergrouptirol/aff6c4ea-cbdb-8e84-2096-176c1936bca2%40iteg.at, um diese Diskussion im Web anzuzeigen.
Hi!
und es wird besser ...
Dort auf Seite 4
Es sind zudem Ausnutzungen der
Schwachstelle zu beobachten, die kein explizites Nachladen
eines Schadcodes
benötigen
und einen maliziösen
Code direkt in der Abfrage enthalten. Dies gefährdet auch
Grundschutz-konforme
Systeme, die
i.d.R. keine Verbindung ins Internet aufbauen können.
und es wird besser ...
Dort auf Seite 4
Es sind zudem Ausnutzungen der Schwachstelle zu beobachten, die kein explizites Nachladen eines Schadcodes
benötigen und einen maliziösen Code direkt in der Abfrage enthalten. Dies gefährdet auch Grundschutz-konforme
Systeme, die i.d.R. keine Verbindung ins Internet aufbauen können.
Hi!
Es geht weiter - 2.15.0 ist nicht aussreichend - gibt jetzt CVE-2021-45046
- lest euch auch die Details durch.
Sie erhalten diese Nachricht, weil Sie Mitglied der Google Groups-Gruppe "Linux User Group Tirol" sind.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an linuxusergroupt...@googlegroups.com.
Besuchen Sie https://groups.google.com/d/msgid/linuxusergrouptirol/6f3642dd-1b71-4fbb-ab52-0bda97137dc7%40gmail.com, um diese Diskussion im Web anzuzeigen.