log4j2 0day CVE-2021-44228

《某玩家PVP被爆錘一怒之下刪了對(duì)手端》

《某玩家一登錄服務(wù)器，其余玩家電腦瞬間淪為礦機(jī)CPU100%》

《某玩家發(fā)送垃圾消息hack進(jìn)管理員電腦獲取跳板連上后臺(tái)給自己上了OP》

《震驚！某知名游戲一夜之間淪為最大礦池》

《Minecraft(我的世界×) Mine craft(挖礦世界√)》

服務(wù)端（服主）：

Spigot、Paper均發(fā)布了安全更新(1.8-latest)，請(qǐng)更新核心至最新構(gòu)建

雖然服務(wù)端修復(fù)了該漏洞，但玩家客戶端還是有可能收到觸發(fā)漏洞的消息，建議安裝

服務(wù)端對(duì)客戶端保護(hù)插件(Bungee/Bukkit/Spigot/Paper)：

download: https://www.mcbbs.net/thread-1283761-1-1.html

github: https://github.com/MeowRay/log4j2-client-protector

客戶端（玩家）：

更新至java8u191以上

啟動(dòng)器啟動(dòng)參數(shù)添加?-Dlog4j2.formatMsgNoLookups=true

封包攔截$******} regex:\\$\\{.*\\}?

bootstrap jar 添加System.setProperty("log4j2.formatMsgNoLookups", "true");

環(huán)境變量 export FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS="true"

更新至log4j2 2.15.0rc2以上

更新至8u191以上

一些防患于未然的網(wǎng)絡(luò)安全措施

阻斷外網(wǎng) forward LDAP port:389 636

網(wǎng)關(guān)firewall forward out lan方向阻斷設(shè)置白名單

網(wǎng)關(guān)layer7 url白名單