Mal eine Frage: Auf dieser Seite hier:
https://bishopfox.com/blog/log4j-zero-day-cve-2021-44228

Sind Abfragen mit denen man erkennen kann ob jemand versucht hat die Lücke auszunutzen (so verstehe ich das) - aber woran kann ich erkennen ob es erfolgreich war ?

Reicht es zu prüfen ob des den angesprochenen Endpoint überhaupt bei mir gibt ?

Ich habe auf dem Server eigentlich nichts laufen ausser Owncloud und die ist anscheinend Safe...
Und open project - das aber in einem Docker Container und den habe ich jetzt mal abgeschaltet bis ich weiss ob da was schlummert...

Hat jemand genug Wissen um zu sagen ob da über den Container ein Angriff auf die eigentliche Maschine passieren kann ?

[..]
Hat jemand genug Wissen um zu sagen ob da über den Container ein Angriff auf die eigentliche Maschine passieren kann ?
Das hängt davon ab. Wenn du dort eine Java basierte Webanwendung am Laufen hast, die log4j nutzt, natürlich.

Das hängt davon ab. Wenn du dort eine Java basierte Webanwendung am Laufen hast, die log4j nutzt, natürlich.
Meinst du: Wenn ich AUCH auf dem Host log4j habe oder wenn ich im Container eine log4j nutzende Anwendung hätte ?
Mittlerweile weiß ich, dass ich auch im Container nichts gelaufen sein sollte was log4j nutzt...

Ich habe auch einmal einen aktiven Scan nach log4 Lücken gefahren über die Seite eines Antivirenherstellers (hab schon wieder vergessen welcher) - der hat auch nichts gefunden...
Aber ich habe auch seine Versuche über die Scripte von https://bishopfox.com/blog/log4j-zer...cve-2021-44228 gesehen... Unterscheiden sich nicht von den Versuchen seit 10.12. (da war der erste gefundene Eintrag).
Ich gehe also davon aus, dass es wirklich nur um blinde Versuche die Lücke in bekannten Paketen zu nutzen handelt (da der Angreifer ja schlecht wissen kann was bei mir alles läuft...)

Ungutes Gefühl bleibt...

Theoretisch kann man mit dem Exploit in manchen fällen aus dem Container ausbrechen. Es kann ja sein, dass der Host zeug aus dem Container protokolliert und mit Log4j speichert. Wenn die Daten dann vom Angreifer kontrolliert werden können, kann man damit ausbrechen.

Irgendwie muss ich mein Passwort mal nachschauen, daher als Gast.
@BigKid: Sorry, ich scheine deine Frage falsch verstanden zu haben.

Die Angriffe, die du protokolliert siehst, sind blinde Versuche, die laufen gegen alle Systeme aktuell, die im Internet erreichbar sind.

Allerdings treffen diese Versuche immer mal wieder ins Schwarze. Wenn du aber sicher bist, keine Java Anwendung im Einsatz zu haben, bzw. nichts, was davon log4j nutzt, kannst du das ignorieren.

Meine Aussage von oben gilt generell.