Linux Tutorial: Prüfen ob Log4j auf dem Server läuft


Diese kurze Anleitung zeigt, wie Sie prüfen können, ob Log4j auf Ihrem Server läuft.

Beachten Sie bitte, dass die Log4j Sicherheitslücke gravierende Folgen auf Ihr System haben kann. Angreifer können durch das eingeben eines bestimmten Strings in einer Login Form Zugang zu Ihrem System erlangen und unter Anderem Dateien modifizieren, den Rechner mit Schadsoftware infizieren oder sogar Remote Code Execution bis hin zur kompletten Übernahme des Systems erlangen.

LDAP via Firewall ausschalten (Wenn möglich)

Grundsätzlich sollte ein gut eingerichteter Server nur die Dienste durch die Firewall zulassen, die auch wirklich benötigt werden. Ich gehe jetzt mal davon aus, dass Sie wissen, was Ihr System hat und braucht um für die Nutzer den Dienst bereitzustellen.

Die Sicherheitslücke wird über LDAP durchgeführt. Das bedeutet, man sollte dringend die Firewall einschalten und LDAP blacklisten, wenn man es nicht benötigt. Wer Ubuntu nutzt, kann einfach mit UFW arbeiten:

ufw deny ldap

Dadurch wird ldap durch die Firewall blockiert und man kann keine ldap Abfragen mehr ausführen. Somit ist zwar die Sicherheitslücke möglich zu nutzen, ldap kann aber nicht mit dem „Bösen“ Server reden und den Befehl holen.

Mit grep prüfen, ob Log4j irgendwo installiert ist

Nutzen Sie diesen Befehl, um zu prüfen ob Log4j eingesetzt wird:

grep -i log4j und pgrep -fa log4j

Dadurch können Sie im Dateisystem suchen, ob es irgendwo log4j Klassen gibt.

Mit dem Installieren von „mlocate“ können Sie ein weiteres Suchtool nutzen:

apt install mlocate

//Wenn noch nicht indexiert, einmal diesen Befehl vor "locate" eingeben:

updatedb

//Dadurch wird das System indexiert

locate log4j

Sollten Sie nichts gefunden haben, sind keine Dateien von log4j zu finden. Dies bedeutet aber nicht, dass log4j nicht irgendwo trotzdem läuft.

Apache Module prüfen (Falls vorhanden)

Mit diesem Befehl prüfen Sie, welche Apache Module auf Ihrem Webserver am laufen haben:

apache2ctl -M | sort

Sollte dort ähnliches wie log4j_module stehen, dringend das Modul deaktivieren, bis es ein Update gibt

Prüfen, welche Dienste betroffen sind

Leider gibt es noch keine offizielle Liste, aber der Benutzer SwitHak hat auf Github eine Liste veröffentlicht, welche Dienste als „Unsicher“ bestätigt wurden. Unter Anderem ist dort Apache Solr, Akamai, und viele andere betroffen.

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Meine Empfehlung

Da diese Sicherheitslücke (Hier nochmal zu sehen) noch relativ frisch ist, kann es unter Umständen sein, dass es noch kein Patch für einzelne Module/Programme gibt. Deaktivieren oder entfernen Sie diese dringend, solange Sie keine Möglichkeit haben, ein Update zu erhalten.

Führen Sie dringend in allen Systemen Updates durch – nicht nur auf Linux, sondern auch auf Windows und Mac!

sudo apt update && sudo apt upgrade


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.