Ça me semble pertinent comme remarque (ça peut faire plus de mal sur le système que de bien). On peut cependant opposer que ça peut aussi éviter que ces serveurs servent de relais pour du ddos ou du ransomware. Et donc être bien plus nuisible qu'un serveur d'une entreprise lambda corrompu. (Même si je ne pense pas que ça compense)
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Note que l'utilisation peut aussi être interne. Par exemple une équipe de sécurité qui utilise ce genre d'outil pour scanner et fermer/mitiger toute faille en attendant que les équipes de développement/opérationnelles n'aient eu le temps de réagir.
Dans certaines boites, rien que de savoir quelle équipe maintiens quelle application peut prendre des heures, si en plus le mot équipe désigne une personne qui fait ça de façon annexe à sa fonction principale et en plus est en vacances, ça peut parfois être compliqué d'avoir des réactions rapides.
La légalité n’est pas douteuse, pour le coup. C’est clairement illégal si ce n’est pas chez toi (atteinte à un système de traitement automatisé de données, même si c’est gentil).
utilitaire de scan de vulnérabilités basé sur python : https://github.com/fullhunt/log4j-scan
- est-ce qu'on peut considérer qu'il est sain et sincère ? le lancer sur un site perso ou pro dont on a la charge sans certitude de ne pas être compromis, c'est prendre un risque.
voici ce qu'on m'a remonté : le script python fait appel à un provider de service tiers (interact.sh) ; il ne semble pas très sérieux d'envoyer des données d'une entreprise sur ce service tiers.
Si on ne choisi pas le site ci-dessus, c'est un service chinois :-)
Posté par Faya .
Évalué à 4.
Dernière modification le 13 décembre 2021 à 16:12.
Sauf erreur, ça indique juste si on a été scanné, pas exploité. À cette heure je pense que la totalité des machines avec une IP publique l'ont été (scanné), y compris celles qui n'ont aucun soft en Java.
[EDIT] On peut rajouter un | grep -v 0400 pour exclure les lignes qui ont refusé la connexion.
j'en quelques tentatives sur mes serveurs ; je ne crois pas que ce soit ciblé. Je présente de nombreux services sur la même adresse IP et le serveur Apache fait l'aiguillage des requêtes. Je retrouve sur un fichier de log spécifique, les requêtes qui ne sont pas adressées au bon service ou via l'IP. C'est ce qui me fait dire que c'est non ciblé. J'ai aussi des requêtes provenant d'un SSO Keycloak dont l'origine est une redirection Wordpress.
Dans les logs, j'ai aussi une trace d'une entité qui me semble pas malveillante, et qui laisse cette signature : "Kryptos Logic Telltale" ; c'est une société de sécurité informatique.
# Éthique et légalité ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 8.
Attention, l'éthique et la légalité d'une telle action semblent douteuses. Voir par exemple https://twitter.censors.us/bortzmeyer/status/1469967302863040515#m
[^] # Re: Éthique et légalité ?
Posté par Misc (site web personnel) . Évalué à 4.
Et ça ne modifie pas la config sur le disque, donc c'est aussi d'une efficacité douteuse :)
[^] # Re: Éthique et légalité ?
Posté par claudex . Évalué à 6.
Ça me semble pertinent comme remarque (ça peut faire plus de mal sur le système que de bien). On peut cependant opposer que ça peut aussi éviter que ces serveurs servent de relais pour du ddos ou du ransomware. Et donc être bien plus nuisible qu'un serveur d'une entreprise lambda corrompu. (Même si je ne pense pas que ça compense)
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Éthique et légalité ?
Posté par Psychofox (Mastodon) . Évalué à 8.
Note que l'utilisation peut aussi être interne. Par exemple une équipe de sécurité qui utilise ce genre d'outil pour scanner et fermer/mitiger toute faille en attendant que les équipes de développement/opérationnelles n'aient eu le temps de réagir.
Dans certaines boites, rien que de savoir quelle équipe maintiens quelle application peut prendre des heures, si en plus le mot équipe désigne une personne qui fait ça de façon annexe à sa fonction principale et en plus est en vacances, ça peut parfois être compliqué d'avoir des réactions rapides.
[^] # Re: Éthique et légalité ?
Posté par flan (site web personnel) . Évalué à 6.
La légalité n’est pas douteuse, pour le coup. C’est clairement illégal si ce n’est pas chez toi (atteinte à un système de traitement automatisé de données, même si c’est gentil).
# analyse de log pour vérifier si on vous exploite:
Posté par Marc Quinton . Évalué à 6.
c'est ici, et basé sur egrep : https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b
[^] # Re: analyse de log pour vérifier si on vous exploite:
Posté par Marc Quinton . Évalué à 6.
utilitaire de scan de vulnérabilités basé sur python : https://github.com/fullhunt/log4j-scan
- est-ce qu'on peut considérer qu'il est sain et sincère ? le lancer sur un site perso ou pro dont on a la charge sans certitude de ne pas être compromis, c'est prendre un risque.
[^] # Re: analyse de log pour vérifier si on vous exploite:
Posté par Marc Quinton . Évalué à 4.
voici ce qu'on m'a remonté : le script python fait appel à un provider de service tiers (interact.sh) ; il ne semble pas très sérieux d'envoyer des données d'une entreprise sur ce service tiers.
Si on ne choisi pas le site ci-dessus, c'est un service chinois :-)
[^] # Re: analyse de log pour vérifier si on vous exploite:
Posté par Faya . Évalué à 4. Dernière modification le 13 décembre 2021 à 16:12.
Sauf erreur, ça indique juste si on a été scanné, pas exploité. À cette heure je pense que la totalité des machines avec une IP publique l'ont été (scanné), y compris celles qui n'ont aucun soft en Java.
[EDIT] On peut rajouter un
| grep -v 0400
pour exclure les lignes qui ont refusé la connexion.[^] # Re: analyse de log pour vérifier si on vous exploite:
Posté par Marc Quinton . Évalué à 3.
j'en quelques tentatives sur mes serveurs ; je ne crois pas que ce soit ciblé. Je présente de nombreux services sur la même adresse IP et le serveur Apache fait l'aiguillage des requêtes. Je retrouve sur un fichier de log spécifique, les requêtes qui ne sont pas adressées au bon service ou via l'IP. C'est ce qui me fait dire que c'est non ciblé. J'ai aussi des requêtes provenant d'un SSO Keycloak dont l'origine est une redirection Wordpress.
Dans les logs, j'ai aussi une trace d'une entité qui me semble pas malveillante, et qui laisse cette signature : "Kryptos Logic Telltale" ; c'est une société de sécurité informatique.
Toujours est-il qu'il est grand temps d'agir.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.