Log4j漏洞不仅仅是修复,更需要构建有效预警机制

本文涉及的产品
对象存储 OSS,20GB 3个月
文件存储 NAS,50GB 3个月
对象存储 OSS,内容安全 1000次 1年
简介: 软件的漏洞有时不可避免,根据Gartner的相关统计,到 2025 年,30% 的关键信息基础设施组织将遇到安全漏洞。日志服务SLS,可帮助快速部署一个预警机制,使得漏洞被利用时可以快速发现并及时响应。通过使用阿里云日志服务SLS,只需两步即可完成攻击检测。

近日,被全球广泛应用的Java日志框架组件Apache Log4j被曝出一个高危漏洞,攻击者仅需一段代码就可远程控制受害者服务器,漏洞波及面和危害程度堪比2017年的永恒之蓝漏洞。

 

据外媒报道,Steam、苹果的云服务受到了影响,推特和亚马逊也遭受了攻击,元宇宙概念游戏“Minecraft我的世界数十万用户被入侵。美联社评论称,这一漏洞可能是近年来发现的最严重的计算机漏洞。网友们也纷纷感慨,“这个漏洞就像把核武器按钮分给了所有人,并且告诉大家,大家随便按按试试”,这个时代最不缺的大概就是末世感了吧……

 

一、Log4j 为何被喻为“核弹级


引起万众瞩目、程序猿连夜加班的Apache Log4j,是一个基于Java的日志框架,已于201585日停止维护。Log4j2是其重构升级版本,新增的Lookups方法设计用于通过多种途径动态引入外部变量,被大量用于业务系统开发,用来记录程序输入输出的日志信息,使用极为广泛。

 

由于Log4j2版本可由JNDl注入实现远程代码执行,黑客无需密码就能访问网络服务器,轻松控制目标设备。据统计,该漏洞影响6万多流行开源软件,影响70%以上的企业线上业务系统。

 

这一次漏洞的影响面之所以如此之大,主要还是因为树大招风,log4j2的使用面实在是太广了。一方面现在Java技术栈在Web、后端开发、大数据等领域应用非常广泛,除了大型互联网企业,还有多如牛毛的中小企业选择Java。另一方面,大量像KafkaElasticsearchFlinkSolr这样的中间件都是用Java语言开发的。在上面这些开发过程中,大量使用了Log4j2作为日志输出,一旦输出的日志有外部输入混进来,就会酿成大祸。

 

目前Apache官方已经发布了修复方案,同时各大厂商也已经给出了对应方案。作为该漏洞的发现者,阿里云的应对相对从容,1124日就向Apache官方报告了漏洞,并第一时间开始修复自家的相关受影响系统。

 

二、如何有效预防此类漏洞

 

软件的漏洞有时不可避免,根据Gartner的相关统计,到 2025 年,30% 的关键信息基础设施组织将遇到安全漏洞,这将会导致关键信息基础设施运营停止或关键型网络物理系统停止,而随着基础设施云化进程的加快,一款云原生观测与分析平台将至关重要。

 

日志服务SLS,可帮助快速部署一个预警机制,使得漏洞被利用时可以快速发现并及时响应。通过使用阿里云日志服务SLS,只需两步即可完成攻击检测:

 

1. Java程序日志接入SLS


首先需要将业务日志接入SLS(如果已经接入了的可跳过)。

 

SLS支持非常便捷的接入方式,这里推荐使用文件采集Java程序的日志,具体接入方法包括:

 

  • 数据采集:日志服务支持采集服务器与应用、开源软件、物联网、移动端、标准协议、阿里云产品等多种来源的数据。

 

  • 使用极简模式采集日志:极简模式不对日志内容进行解析,每条日志都被作为一个整体被采集到日志服务中,极大简化了日志采集流程。

 

在日志接入后,就可以在SLS控制台配置关键词告警。

 

2. 配置关键字监控


该漏洞被利用时会产生相应的日志,通过检测以下关键字,即可识别:

"jndi:ldap://" or "jndi:rmi" or "javax.naming.CommunicationException" or "javax.naming.NamingException: problem generating object using object factory" or "Error looking up JNDI resource"


然后点击查询/分析,(如果有攻击发生,会如下图):

查询分析.png

再点击右上角的“另存为告警 -> 新版告警:配置告警规则如下:

告警规则.png

通知里可以配置语音、钉钉等渠道,如下图所示:

高级配置.png

如果日志中有关键字出现,则会在发送语音和钉钉通知。

告警通知.png

以上,就是构建预警机制的一个简易流程。最后,鉴于Log4j在全行业和政府使用的云服务器和企业软件中无处不在,因此将其更新到稳定版本2.15.0至关重要,同时也要加强监测手段,防范灾难性的漏洞。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
安全 Java 开发者
刚折腾完Log4J,又爆Spring RCE核弹级漏洞
继Log4J爆出安全漏洞之后,又在深夜,Spring的github上又更新了一条可能造成RCE(远程命令执行漏洞)的问题代码,随即在国内的安全圈炸开了锅。有安全专家建议升级到JDK 9以上,有些专家又建议回滚到JDK 7以下,一时间小伙伴们不知道该怎么办了。大家来看一段动画演示,怎么改都是“将军"。
117 1
|
安全 Java Shell
Apache Log4j2 远程代码执行漏洞
Apache Log4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。
104 2
|
安全 druid Java
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
362 1
|
安全 Java 大数据
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
|
12天前
|
XML 安全 Java
【日志框架整合】Slf4j、Log4j、Log4j2、Logback配置模板
本文介绍了Java日志框架的基本概念和使用方法,重点讨论了SLF4J、Log4j、Logback和Log4j2之间的关系及其性能对比。SLF4J作为一个日志抽象层,允许开发者使用统一的日志接口,而Log4j、Logback和Log4j2则是具体的日志实现框架。Log4j2在性能上优于Logback,推荐在新项目中使用。文章还详细说明了如何在Spring Boot项目中配置Log4j2和Logback,以及如何使用Lombok简化日志记录。最后,提供了一些日志配置的最佳实践,包括滚动日志、统一日志格式和提高日志性能的方法。
121 30
【日志框架整合】Slf4j、Log4j、Log4j2、Logback配置模板
|
1月前
|
XML JSON Java
Logback 与 log4j2 性能对比:谁才是日志框架的性能王者?
【10月更文挑战第5天】在Java开发中,日志框架是不可或缺的工具,它们帮助我们记录系统运行时的信息、警告和错误,对于开发人员来说至关重要。在众多日志框架中,Logback和log4j2以其卓越的性能和丰富的功能脱颖而出,成为开发者们的首选。本文将深入探讨Logback与log4j2在性能方面的对比,通过详细的分析和实例,帮助大家理解两者之间的性能差异,以便在实际项目中做出更明智的选择。
220 3
|
2月前
|
Java
日志框架log4j打印异常堆栈信息携带traceId,方便接口异常排查
日常项目运行日志,异常栈打印是不带traceId,导致排查问题查找异常栈很麻烦。
|
3月前
|
XML Java Maven
log4j 日志的简单使用
这篇文章介绍了Log4j日志框架的基本使用方法,包括在Maven项目中添加依赖、配置`log4j.properties`文件以及在代码中创建和使用Logger对象进行日志记录,但实际打印结果中日志级别没有颜色显示。
log4j 日志的简单使用
|
3月前
|
XML Java Maven
Spring5入门到实战------16、Spring5新功能 --整合日志框架(Log4j2)
这篇文章是Spring5框架的入门到实战教程,介绍了Spring5的新功能——整合日志框架Log4j2,包括Spring5对日志框架的通用封装、如何在项目中引入Log4j2、编写Log4j2的XML配置文件,并通过测试类展示了如何使用Log4j2进行日志记录。
Spring5入门到实战------16、Spring5新功能 --整合日志框架(Log4j2)
|
3月前
|
存储 消息中间件 监控
Java日志详解:日志级别,优先级、配置文件、常见日志管理系统ELK、日志收集分析
Java日志详解:日志级别,优先级、配置文件、常见日志管理系统、日志收集分析。日志级别从小到大的关系(优先级从低到高): ALL < TRACE < DEBUG < INFO < WARN < ERROR < FATAL < OFF 低级别的会输出高级别的信息,高级别的不会输出低级别的信息

相关产品

  • 日志服务