Log4j漏洞不仅仅是修复,更需要构建有效预警机制

简介:软件的漏洞有时不可避免,根据Gartner的相关统计,到 2025 年,30% 的关键信息基础设施组织将遇到安全漏洞。日志服务SLS,可帮助快速部署一个预警机制,使得漏洞被利用时可以快速发现并及时响应。通过使用阿里云日志服务SLS,只需两步即可完成攻击检测。

近日,被全球广泛应用的Java日志框架组件Apache Log4j被曝出一个高危漏洞,攻击者仅需一段代码就可远程控制受害者服务器,漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。

据外媒报道,Steam、苹果的云服务受到了影响,推特和亚马逊也遭受了攻击,元宇宙概念游戏“Minecraft我的世界”数十万用户被入侵。美联社评论称,这一漏洞可能是近年来发现的最严重的计算机漏洞。网友们也纷纷感慨,“这个漏洞就像把核武器按钮分给了所有人,并且告诉大家,大家随便按按试试”,“这个时代最不缺的大概就是末世感了吧”……

一、Log4j 为何被喻为“核弹级”

引起万众瞩目、程序猿连夜加班的Apache Log4j,是一个基于Java的日志框架,已于2015年8月5日停止维护。Log4j2是其重构升级版本,新增的Lookups方法设计用于通过多种途径动态引入外部变量,被大量用于业务系统开发,用来记录程序输入输出的日志信息,使用极为广泛。

由于Log4j2版本可由JNDl注入实现远程代码执行,黑客无需密码就能访问网络服务器,轻松控制目标设备。据统计,该漏洞影响6万多流行开源软件,影响70%以上的企业线上业务系统。

这一次漏洞的影响面之所以如此之大,主要还是因为树大招风,log4j2的使用面实在是太广了。一方面现在Java技术栈在Web、后端开发、大数据等领域应用非常广泛,除了大型互联网企业,还有多如牛毛的中小企业选择Java。另一方面,大量像Kafka、Elasticsearch、Flink、Solr这样的中间件都是用Java语言开发的。在上面这些开发过程中,大量使用了Log4j2作为日志输出,一旦输出的日志有外部输入混进来,就会酿成大祸。

目前Apache官方已经发布了修复方案,同时各大厂商也已经给出了对应方案。作为该漏洞的发现者,阿里云的应对相对从容,11月24日就向Apache官方报告了漏洞,并第一时间开始修复自家的相关受影响系统。

二、如何有效预防此类漏洞

软件的漏洞有时不可避免,根据Gartner的相关统计,到 2025 年,30% 的关键信息基础设施组织将遇到安全漏洞,这将会导致关键信息基础设施运营停止或关键型网络物理系统停止,而随着基础设施云化进程的加快,一款云原生观测与分析平台将至关重要。

日志服务SLS,可帮助快速部署一个预警机制,使得漏洞被利用时可以快速发现并及时响应。通过使用阿里云日志服务SLS,只需两步即可完成攻击检测:

1. 将Java程序日志接入SLS

首先需要将业务日志接入SLS(如果已经接入了的可跳过)。

SLS支持非常便捷的接入方式,这里推荐使用文件采集Java程序的日志,具体接入方法包括:

  • 数据采集:日志服务支持采集服务器与应用、开源软件、物联网、移动端、标准协议、阿里云产品等多种来源的数据。
  • 使用极简模式采集日志:极简模式不对日志内容进行解析,每条日志都被作为一个整体被采集到日志服务中,极大简化了日志采集流程。

在日志接入后,就可以在SLS控制台配置关键词告警。

2. 配置关键字监控

该漏洞被利用时会产生相应的日志,通过检测以下关键字,即可识别:

"jndi:ldap://" or "jndi:rmi" or "javax.naming.CommunicationException" or "javax.naming.NamingException: problem generating object using object factory" or "Error looking up JNDI resource"

然后点击查询/分析,(如果有攻击发生,会如下图):

查询分析.png

再点击右上角的“另存为告警 -> 新版告警”:配置告警规则如下:

告警规则.png

通知里可以配置语音、钉钉等渠道,如下图所示:

高级配置.png

如果日志中有关键字出现,则会在发送语音和钉钉通知。

告警通知.png

以上,就是构建预警机制的一个简易流程。最后,鉴于Log4j在全行业和政府使用的云服务器和企业软件中“无处不在”,因此将其更新到稳定版本2.15.0至关重要,同时也要加强监测手段,防范灾难性的漏洞。

原文链接本文为阿里云原创内容,未经允许不得转载。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/511809.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python取的键不存在_Python3基础 dict get 在查询不存在的键时,返回指定的内容

Python : 3.7.0OS : Ubuntu 18.04.1 LTSIDE : PyCharm 2018.2.4Conda : 4.5.11typesetting : Markdowncode"""Author : 行初心Date : 18-9-23Blog : www.cnblogs.com/xingchuxinGitee : gitee.com/zhichengjiu"""def main():my_dict {子: 鼠, 丑…

【ClickHouse 技术系列】- ClickHouse 聚合函数和聚合状态

简介:本文翻译自 Altinity 针对 ClickHouse 的系列技术文章。面向联机分析处理(OLAP)的开源分析引擎 ClickHouse,因其优良的查询性能,PB级的数据规模,简单的架构,被国内外公司广泛采用。本系列技…

【ClickHouse 技术系列】- ClickHouse 中的嵌套数据结构

简介:本文翻译自 Altinity 针对 ClickHouse 的系列技术文章。面向联机分析处理(OLAP)的开源分析引擎 ClickHouse,因其优良的查询性能,PB级的数据规模,简单的架构,被国内外公司广泛采用。本系列技…

太强了!这款开源终端工具可查询 IP 信息~

作者 | JackTian来源 | 杰哥的IT之旅在 Linux 下,有dig、nslookup、traceroute等多种非常实用的网络调试工具。dig:是常用的域名查询工具,可以用来测试域名是否正常。nslookup:是常用的域名查询工具,也就是查 DNS 信息…

顺序写磁盘比随机写内存_深入理解 linux磁盘顺序写、随机写

一、前言随机写会导致磁头不停地换道,造成效率的极大降低;顺序写磁头几乎不用换道,或者换道的时间很短。本文来讨论一下两者具体的差别以及相应的内核调用。二、环境准备三、fio介绍通过fio测试,能够反映在读写中的状态&#xff0…

为余势负天工背,云原生内存数据库Tair助力用户体验优化

简介:作为双11大促承载流量洪峰的利器,Tair支撑了电商交易核心体验场景。不仅在数十亿QPS的峰值下保持着亚毫秒级别的顺滑延迟,同时在电商交易核心体验场景上也做出了技术创新。 作者 | 漠冰 来源 | 阿里技术公众号 作为双11大促承载流量洪峰…

【视频特辑】数据分析师必备,快速制作一张强大好用的大宽表

简介:随着企业数字化进程的逐步推进,在日常经营过程当中会沉淀下越来越多的数据信息。 每当想做数据分析的时候,就会发现想要的指标分散在不同的数据源、数据集、数据表当中。 Quick BI的数据关联功能,可以帮助数据分析师快速将指…

读取硬盘前的准备工作有哪些?

作者 | 闪客sun来源 | 低并发编程读取硬盘数据到内存中,是操作系统的一个基础功能。读取硬盘需要有块设备驱动程序,而以文件的方式来读取则还有要再上面包一层文件系统。把读出来的数据放到内存,就涉及到内存中缓冲区的管理。上面说的每一件事…

【视频特辑】提效神器,如何用Quick BI高效配置员工的用数权限

简介:随着企业数字化进程逐步加速,企业所产生和积累的数据资源日益增多。每当员工的用数权限发生变动,管理员都需要进行复杂繁琐的重复性配置流程,不仅耗时耗力还容易出错。 如何能便捷地对员工用数权限进行高效管理?试…

python苦逼_自学Python编程的第六天(最后代码有更好的请告诉我)----------来自苦逼的转行人...

2019-09-16-23:09:06自学Python的第六天,也是写博客的第六天今天学的内容是有关dict字典的用法看视频加上练习,目前还没遇到有难点,但是感觉很不好的样子没有难点以后突然出现一个有关字典的程序感觉要炸,还是得继续掌握看最后的代码吧,有更好的请告诉我我是一条快乐的分割线一…

让容器跑得更快:CPU Burst 技术实践

简介:让人讨厌的 CPU 限流影响容器运行,有时人们不得不牺牲容器部署密度来避免 CPU 限流出现。我们设计的 CPU Burst 技术既能保证容器运行服务质量,又不降低容器部署密度。CPU Burst 特性已合入 Linux 5.14,Anolis OS 8.2、Aliba…

实时数仓Hologres首次走进阿里淘特双11

简介:这是淘特在阿里巴巴参与的第二个双11大促,大促期间累计超过上千万消费者在此买到心仪的商品,数百万家商家因为淘特而变得不同,未来,淘特也将会继续更好的服务于下沉市场,让惠民走近千万家。 2021年11…

调用某个按钮事件_Event 对象之事件句柄 (Event Handlers)

所谓的Event 对象代表事件的状态,比如事件在其中发生的元素、键盘按键的状态、鼠标的位置、鼠标按钮的状态。事件通常与函数结合使用,函数不会在事件发生前被执行!事件句柄HTML 4.0 的新特性之一是能够使 HTML 事件触发浏览器中的行为&#x…

Cluster 集群能支撑的数据有多大?

作者 | 码哥字节来源 | 码哥字节本文将对集群的节点、槽指派、命令执行、重新分片、转向、故障转移、消息等各个方面进行深入拆解。目的在于掌握什么是 Cluster ?Cluster 分片原理,客户端定位数据原理、故障切换,选主,什么场景使用…

All in one:如何搭建端到端可观测体系

简介:一文看懂可观测! 作者:西杰 & 白玙 可观测的前生今世 系统的可观测与故障可分析作为系统运维中重要的衡量标准,随着系统在架构、资源单位、资源获取方式、通信方式演进过程,遇到了巨大挑战。而这些挑战&am…

链路分析 K.O “五大经典问题”

简介:链路分析是基于已存储的全量链路明细数据,自由组合筛选条件与聚合维度进行实时分析,可以满足不同场景的自定义诊断需求。 作者:涯海 链路追踪的 “第三种玩法” 提起链路追踪,大家会很自然的想到使用调用链排查…

Kubernetes 上容器的启动顺序如何把控?

作者 | AddoZhang来源 | 云原生指北为什么要做容器启动顺序控制?我们都知道 Pod 中除了 init-container 之外,是允许添加多个容器的。类似 TektonCD 中 task 和 step 的概念就分别与 pod 和 container 对应,而 step 是按照顺序执行的。此外还…

input失去焦点验证格式_vue2多文本框的表单校验(3)-失去焦点触发校验

vue2多文本框的表单校验(3)-失去焦点触发校验第一步,在 子组件中blur 事件中派发 blurblur"blur2($event.target.value)" input"inputAction($event.target.value)"v-bind:name"nam" :value"value" class"inf-input" :class…

一文说清linux system load

简介:双十一压测过程中,常见的问题之一就是load 飙高,通常这个时候业务上都有受影响,比如服务rt飙高,比如机器无法登录,比如机器上执行命令hang住等等。本文就来说说,什么是load,loa…

KubeDL 0.4.0 - Kubernetes AI 模型版本管理与追踪

简介:欢迎更多的用户试用 KubeDL,并向我们提出宝贵的意见,也期待有更多的开发者关注以及参与 KubeDL 社区的建设! 作者:陈裘凯( 求索) 前言 KubeDL 是阿里开源的基于 Kubernetes 的 AI 工作负…