我们的许多客户都在询问 Hostinger基于 Java 的 Apache Log4j 库漏洞 。该漏洞允许攻击者在远程服务器上执行代码。
我们可以确认Hostinger的网络托管服务器不支持依赖Log4j的服务,也没有安装它们,从而使 您和您的数据安全且不受此漏洞的影响。
我们的 API 和 UI 系统不是用 Java 运行的,除了我们内部 澳大利亚电报电话号码列表 使用的 Elasticsearch 实例(已修补)。因此,尽管我们注意到大量流量通过“jndi”、“ldap”和大量关键字变体攻击我们的 API,试图触发 Log4j 漏洞,但它们 对我们的系统无害,并且对客户的数据没有影响。
Log4j漏洞的问题是什么? Log4j 是如何被发现的?
Log4j 是一段帮助软件应用程序跟踪其过去活动的代码。每次开发人员创建新软件时,他们都可以应用这段现有代码,该代码在互联网上免费且普遍使用。
最近几周,网络安全社区发现,通过要求程序记录恶意代码,这样的过程将导致攻击者控制运行 Log4j 的服务器。
该漏洞报告的起源仍然存在分歧:一些人认为它是在 Minecraft 相关论坛上首次注意到的,而另一些人则指出是中国科技公司阿里巴巴的安全研究人员。无论哪种方式,专家都称其 为众多暴露的设备、站点和服务中最严重的软件漏洞。
我应该对 Log4j 漏洞采取什么措施吗?
我们想通知在 VPS 服务器上运行 Java 服务的 VPS 客户将 Log4j 更新到至少版本 2.16.1。否则,请更新相应的软件,包括 Log4j 作为软件包,然后重新启动服务。
专门针对 Minecraft VPS 用户,当您打开 MC 启动器时,游戏将自动更新。因此,请勿跳过或尝试停止更新。一旦游戏最近发布,您就会安全了。有关更多信息,请参阅这篇 有关 Java 版本安全漏洞的 文章。
我们建议您的 MC 客户端和运行服务器时至少使用版本 1.18.1。
如何进一步保护自己免受 Log4j 漏洞带来的恶意流量的影响?
即使 Hostinger 服务器上的网站托管帐户是安全的,大规模扫描也会在整个互联网 IP 范围上运行。他们扫描世界各地的所有网站只是为了找到易受攻击的主机。这种流量很烦人,可能会导致您的网站帐户使用不必要的资源,甚至会减慢速度。
我们建议在您的网站上启用 Cloudflare。由于 Cloudflare 默认启用特定 WAF 规则(在免费套餐中),因此来自 Log4j 漏洞扫描程序的所有恶意流量都将被删除。
我们还建议您关注相关新闻几周,以确保您不需要再次打补丁。在发现最初的错误 (CVE-2021-44228) 后,我们已经修补了 Log4j (CVE-2021-45046) 的新漏洞。由于现在这个 Log4j 库受到了全球的广泛关注,因此不断发现利用它的新方法。
我们可以记住并从几年前发生的Shellshock (Bash 漏洞)和 Heartbleed (TLS 漏洞) 如何使用 google ads auction insights 来改善你的广告 等严重漏洞中吸取教训, 当时需要多个补丁才能完全保护系统。
Hostinger 数据
戴纽斯·萨卡林斯卡斯摄
我们大家可以如何做出贡献?阿帕奇软件基金会
我们 Hostinger 是一家开放的公司,主要基于开源软件构建。这样的时代提醒我们,开源软件是 文莱领先 由爱好者创建的,但他们基本上没有从中得到任何好处。
当这个漏洞在周末席卷全球时,维护人员齐心协力,日以继夜地工作,以解决影响世 是否能够抵御 界的问题。因此,他们的工作和努力理应受到如此多的尊重和认可。