Detección de ataques Log4shell (CVE-2021-44228)

  1. Descargar Reglas YARA para detectar ataques Log4shell
  2. Descargar reglas Snort para detectar ataques Log4shell
  3. Comandos para detectar ataques Log4shell en los logs
    1. Busqueda recursiva en los logs:
      sudo egrep -I -i -r '\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+' /var/log
    2. Busqueda recursiva incluyendo logs comprimidos:
      sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i '\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+'
    3. Busqueda recursiva incluyendo variantes en logs:
      sudo find /var/log/ -type f -exec sh -c "cat {} | sed -e 's/\${lower://'g | tr -d '}' | egrep -I -i 'jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):'" \;
    4. Busqueda recursiva buscando JndiLookup:
      sudo grep -r --include "*.jar" JndiLookup.class /
    5. Para buscar coincidencias en entornos windows:
      findstr /s /i /c:"JndiLookup.class" C:\*.jar

Article Attachments