Minecraft Log4j2 漏洞可行方案

log4j2 0day CVE-2021-44228

《某玩家PVP被爆锤一怒之下删了对手端》

《某玩家一登录服务器，其余玩家电脑瞬间沦为矿机CPU100%》

《某玩家发送垃圾消息hack进管理员电脑获取跳板连上后台给自己上了OP》

《震惊！某知名游戏一夜之间沦为最大矿池》

《Minecraft(我的世界×) Mine craft(挖矿世界√)》

服务端（服主）：

Spigot、Paper均发布了安全更新(1.8-latest)，请更新核心至最新构建

虽然服务端修复了该漏洞，但玩家客户端还是有可能收到触发漏洞的消息，建议安装

服务端对客户端保护插件(Bungee/Bukkit/Spigot/Paper)：

download: https://www.mcbbs.net/thread-1283761-1-1.html

github: https://github.com/MeowRay/log4j2-client-protector

客户端（玩家）：

更新至java8u191以上

启动器启动参数添加 -Dlog4j2.formatMsgNoLookups=true

封包拦截$******} regex:\\$\\{.*\\} 

bootstrap jar 添加System.setProperty("log4j2.formatMsgNoLookups", "true");

环境变量 export FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS="true"

更新至log4j2 2.15.0rc2以上

更新至8u191以上

一些防患于未然的网络安全措施

阻断外网 forward LDAP port:389 636

网关firewall forward out lan方向阻断设置白名单

网关layer7 url白名单