介绍:软件漏洞有时是不可避免的。根据Gartner的统计,到2025年,30%的关键信息基础设施组织将遇到安全漏洞。日志服务SLS可以帮助快速部署预警机制,当漏洞被利用时,可以快速发现并及时响应。使用阿里云日志服务SLS,只需两步即可完成攻击检测。近日,全球广泛使用的Java日志框架组件ApacheLog4j被曝高危漏洞。攻击者只需一段代码就可以远程控制受害服务器。.据外媒报道,Steam和苹果的云服务受到影响,推特和亚马逊也遭到攻击,元宇宙概念游戏《我的世界我的世界》数十万用户遭到入侵。美联社评论称,该漏洞可能是近年来发现的最严重的计算机漏洞。网友们也纷纷感叹,“这个漏洞就像是把核武器按钮分发给大家,让大家按下去试试。”“这个时代最不可缺少的,大概就是世界末日感吧。”……1、Log4j为什么被称为“核弹”?备受关注、程序员通宵加班的ApacheLog4j是一个基于Java的日志框架,于2015年8月5日停止维护,Log4j2是其重构升级版本。新增的Lookups方法旨在通过各种渠道动态引入外部变量。广泛应用于业务系统开发中,用于记录程序输入输出的日志信息,应用广泛。由于Log4j2版本可以通过JNDl注入实现远程代码执行,黑客无需密码即可访问网络服务器,轻松控制目标设备。据统计,该漏洞影响超过60000款流行的开源软件,影响超过70%的企业在线业务系统。这次漏洞的影响之所以这么大,主要是树太大了,log4j2的使用面太广了。一方面,Java技术栈现在广泛应用于Web、后端开发、大数据等领域。除了大型互联网公司,选择Java的中小企业更是数不胜数。另一方面,Kafka、Elasticsearch、Flink、Solr等大量中间件都是用Java语言开发的。在上述开发过程中,大量使用了Log4j2作为日志输出。输出日志一旦与外部输入混入,就会酿成大祸。目前Apache官方已经发布了修复方案,各大厂商也都给出了相应的方案。作为漏洞的发现者,阿里云的应对相对冷静。它于11月24日向Apache官方报告了该漏洞,并立即开始修复其受影响的相关系统。2、如何有效防范此类漏洞软件的漏洞有时是不可避免的。据Gartner相关统计,到2025年,30%的关键信息基础设施组织将遭遇安全漏洞,导致关键信息基础设施停止运行或关键信息物理系统停止运行,随着基础设施云化加速,云-本地观察和分析平台将是至关重要的。日志服务SLS可以帮助快速部署预警机制,当漏洞被利用时,可以快速发现并及时响应。使用阿里云日志服务SLS,可以分两步完成攻击检测:1、Java程序日志接入SLS,首先需要将业务日志接入SLS(已接入可跳过)。SLS支持非常方便的访问方式。推荐使用文件来收集Java程序的日志。具体接入方式包括:数据采集:日志服务支持采集服务器和应用、开源软件、物联网、移动终端、标准协议、阿里云产品等多种来源的数据。使用极简模式采集日志:极简模式不分析日志内容,将每条日志作为一个整体采集到日志服务中,大大简化了日志采集流程。导入日志后,可以在SLS控制台配置关键字告警。2、配置关键字监控,在漏洞被利用时生成相应的日志,通过检测以下关键字即可识别:“jndi:ldap://”或“jndi:rmi”或“javax.naming.CommunicationException”或“javax”.naming.NamingException:problemgeneratingobjectusingobjectfactory”或者“ErrorlookingupJNDIresource”然后点击Query/Analyze,(如果有攻击会如下图):然后点击“SaveasAlarm->”右上角“新版本报警”:配置报警规则如下:通知中可以配置语音、钉钉等渠道,如下图:如果日志中出现关键字,语音和钉钉通知将被发送。以上就是构建预警机制的一个简单过程。最后,鉴于Log4j在跨行业和政府使用的云服务器和企业软件中“无处不在”,将其更新到稳定版本2.15至关重要。原文链接本文为阿里云原创内容,未经许可不得转载。
