产生原理:
log4j2版本安全漏洞。
rmi远程方法调用:jvm与jvm进程做远程交互的服务。
攻击方式:
黑客部署nginx服务器和rmi服务器,nginx中放入攻击脚本(是个class文件)。
服务器的rmi参数必须是true.
通过远程注入方式(rmi协议),让服务器通过log4j2发送rmi请求到rmi服务器,rmi服务器会到nginx服务器中下载攻击脚本到本地,通过类加载机制执行。
log4j2的logger.info(rmi地址) 是漏洞源头。
解决方法:
- 升级log4j2版本(最佳方法)。
- 设置服务器白名单,不会再访问黑客服务器
- rmi参数改为flase,rmi请求不会被执行。