CVE-2021-35211 Serv-U远程命令执行漏洞复现

这周的一次应急响应case中，客户遭遇了lockbit 2.0的勒索。经溯源分析后，发现客户机器上安装了serv-u 15.0.0.0 的版本，该版本存在远程命令执行漏洞。本文对该漏洞进行复现，本文主要侧重于被入侵后如何快速进行溯源排查。

漏洞简述

Apache Flink 是一个开源流处理框架，具有强大的流处理和批处理能力。

CVE-2020-17518
Apache Flink 1.5.1 引入了一个 REST 处理程序，允许通过恶意修改的 HTTP HEADER 将上传的文件写入本地文件系统上的任意位置。

CVE-2020-17519
Apache Flink 1.11.0 中引入的一项更改（也在 1.11.1 和 1.11.2 中发布）允许攻击者通过 JobManager 进程的 REST 接口读取 JobManager 本地文件系统上的任何文件。

未授权访问上传Jar包getshell
这个没有CVE，上传Jar包执行本身是一个的功能点，但是Flink本身后台页面本身没有鉴权，导致未授权访问上传jar包进行getshell。

漏洞简述

Actutator是spring一个生产环境部署时可使用的功能，用来监控和管理应用程序。支持选择HTTP Endpoints 或者JMX的方式来访问，同样支持查看应用程序的Auding,health和metrics信息。

最近trojan的443端口总是被封，看了下网上的的很多文章，提供的思路很多。

简单归纳以下几点：

1. 伪装成正常网站，允许搜索引擎爬虫抓取。
2. Nginx分流。
3. 上cdn。
4. 换端口。

在一次应急中，排查ssh日志发现Accept keyboard-interactive的ssh连接方式。但是keyboard-interactive没怎么遇到，故整理了ssh的几种登录方式。

漏洞简述

Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件，可用于构建企业文库等。2021年8月26日Atlassian官方发布公告，披露了CVE-2021-26084 Atlassian Confluence 远程代码执行漏洞。攻击者在经过认证后或在部分场景下无需认证，即可构造恶意请求，造成OGNL表达式注入，从而执行任意代码，控制服务器。

漏洞简述

Apache HTTP Server 存在路径遍历漏洞，该漏洞源于发现 Apache HTTP Server 2.4.50 版本中对 CVE-2021-41773 的修复不够充分。

攻击者利用这个漏洞，可以读取位于Apache服务器Web目录以外的其他文件，或者读取Web目录中的脚本文件源码，或者在开启了cgi或cgid的服务器上执行任意命令。这个漏洞可以影响Apache HTTP Server 2.4.49以及2.4.50两个版本。

漏洞简述

Hadoop Yarn作为Hadoop核心组件之一，负责将资源分配至各个集群中运行各种应用程序，并调度不同集群节点上的任务执行。Hadoop Yarn默认对外开放RPC服务，攻击者可利用RPC服务执行任意命令，控制服务器。同时由于Hadoop Yarn RPC服务访问控制机制开启方式与REST API不一样，因此即使在 REST API有授权认证的情况下，RPC服务所在端口仍然可以未授权访问。