log4j RCE 漏洞利用检测

您可以使用这些命令和规则来排查针对 log4j RCE 漏洞 CVE-2021-44228 利用的尝试

Grep / Zgrep

此命令在文件夹/var/log和所有子文件夹中的未压缩文件中搜索漏洞利用尝试

sudo egrep -I -i -r ' \$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+ ' /var/log

此命令在文件夹/var/log和所有子文件夹中的压缩文件中搜索漏洞利用尝试

sudo find /var/log -name \* .gz -print0 | xargs -0 zgrep -E -i ' \$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+ '

Grep / Zgrep – 混淆变体

这些命令甚至涵盖了混淆的变体，但缺少匹配项中的文件名。

此命令在文件夹/var/log和所有子文件夹中的未压缩文件中搜索漏洞利用尝试

sudo find /var/log/ -type f -exec sh -c " cat {} | sed -e 's/ \$ {lower://'g | tr -d '}' | egrep -I -i 'jndi :(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):' " \;

此命令在文件夹/var/log和所有子文件夹中的压缩文件中搜索漏洞利用尝试

sudo find /var/log/ -name ' *.gz ' -type f -exec sh -c " zcat {} | sed -e 's/ \$ {lower://'g | tr -d '}' | egrep -i 'jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):' " \;

Log4Shell 检测器 (Python)

基于 Python 的扫描器可检测最模糊的漏洞利用代码形式。

https://github.com/Neo23x0/log4shell-detector

查找易受攻击的软件 (Windows)

gci 'C:\' -rec -force -include *.jar -ea 0 | foreach {select-string "JndiLookup.class" $_} | select -exp Path