個人メモ *自サーバーにlog4j がいないか浅く確認
JAVA使いではないLAMPな人間が浅い知識で対処していきます。
①java がそもそもインストールされてないことを確認
java -version
bash: java: コマンドが見つかりません
java うごいてたらこうなる *例はOpenBlocks
java -version
java version "1.8.0_06"
Java(TM) SE Embedded Runtime Environment (build 1.8.0_06-b23)
Java HotSpot(TM) Embedded Client VM (build 25.6-b23, mixed mode)
例えば 2015年頃に買った OpenBlocks ( ARM の Ubuntu ) は身に覚えがなくても初期状態で java がインストールされてたりします。なのでしならいところで log4j がうごいてたりとか心配です。
②Webサーバーが不必要に動いてたらSTOP
使ってないマイクロサーバーで apache が起動してたので、もしかしたら初期状態で apache enable とかだったかもしれませんので停止しておきます。
まぎらわしいのは、Apache Log4j と Apacheがついてるので、ついつい nginx はセーフ!!! というわけではないので webサーバー動いてるものは全部要チェックです。
service apache2 stop
service apache2 disable
③モジュール名で検索してもでないことを確認
依存関係のどこでうごいてるのかわかりづらいということで とりあえずモジュール名で検索
*これでヒットしなかったから安心できる!というものでもない
log4j の 怖さ
UA改変してWEBサーバーにアクセスするだけでアウトーーー みたいです
ポート | サービス |
---|
80 | web |
8080 | web |
8089 | VMware vCenter Server, Asterisk など |
8983 | Apache Solrなど |