背景

相信大家已经知道了Log4J的核弹级漏洞，影响了非常多的Java 类产品：Apache Log4j 2.x < 2.15.0-rc2；可能的受影响应用及组件（包括但不限于）如下：

• Apache Solr
• Apache Flink
• Apache Druid
• Apache Struts2
• srping-boot-strater-log4j2
• Elasticsearch
• flume
• dubbo
• Redis
• logstash
• kafka

更多组件可参考：https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1

该漏洞利用Log4j提供的lookup功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。简单来说，就是在使用Log4j打印日志时，如果发现日志内容中包含关键词 ${，那么这个里面包含的内容会当做变量来进行替换，导致攻击者可以任意执行命令。详细漏洞披露可查看： https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201

攻击检测

通过使用阿里云SLS服务，只需两步即可完成攻击检测：

1. 将Java程序日志接入SLS

首先需要将业务日志接入SLS，如果已经接入了的可跳过。

SLS支持非常便捷的接入方式，这里推荐使用文件采集Java程序的日志，具体接入方法可以参考:

• 数据采集概述：https://help.aliyun.com/document_detail/28981.html
• 使用极简模式采集日志：https://help.aliyun.com/document_detail/137903.html

在日志接入后，我们就可以在SLS控制台配置关键词告警。

2. 配置关键字监控

该漏洞被利用时会产生相应的日志，通过检测以下关键字，即可识别：

"jndi:ldap://" or "jndi:rmi" or "javax.naming.CommunicationException" or "javax.naming.NamingException: problem generating object using object factory" or "Error looking up JNDI resource"

然后点击查询/分析，（如果有攻击发生，会如下图）：

再点击右上角的“另存为告警 -> 新版告警”：配置告警规则如下：

通知里可以配置语音、钉钉等渠道，如下图所示：

如果日志中有关键字出现，则会在发送语音和钉钉通知。

修复建议

目前漏洞 POC 已被公开，官方已发布安全版本（RC2），建议使用 Java 开发语言的系统尽快确认是否使用 Apache Log4j 2 插件。禁止使用 log4j 服务器外连，尽快升级 Apache Log4j2 到最新的 log4j-2.15.0-rc2 版本，地址: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

总结

该漏洞影响极大，修复本身也比较花费过程，许多服务都发布公告需要一段时间，在这之前，强烈推荐使用阿里云SLS对该漏洞进行预警。

进一步参考

• 阿里云SLS（日志服务）：https://www.aliyun.com/product/sls
• SLS日志采集文档：https://help.aliyun.com/document_detail/28981.html
• SLS告警文档：https://help.aliyun.com/document_detail/209951.html
• 欢迎扫群加入阿里云-日志服务（SLS）技术交流，获得第一手资料与支持