2018-06-01
发布时间 2018-06-01新增事件
|
事件名称: |
HTTP_木马_RuMiner_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了RuMiner。RuMiner是一款木马,运行后下载挖矿木马,窃密木马Arkei Stealer。还可以执行ddos、http flood攻击等命令。 |
|
更新时间: |
20180601 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
TCP_后门_Win32.DorkBot变种_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了DorkBot。DorkBot是一个蠕虫,通过U盘传播自身,主要功能是对指定目标机器发起DDoS攻击。 |
|
更新时间: |
20180601 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
TCP_后门_Win32.NgrBot_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了NgrBot。NgrBot是一个基于IRC协议的僵尸网络,主要功能是对指定目标机器发起DDoS攻击。 |
|
更新时间: |
20180601 |
|
默认动作: |
丢弃 |
修改事件
|
事件名称: |
HTTP_后门_Win32.MMCore_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在主机可能被植入了后门W32.MMCore。W32.MMCore是一个功能强大的后门,可以窃取敏感信息,下载执行其他样本,也可以更新或删除自身。 |
|
更新时间: |
20180601 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
UDP_MSSQL2000_远程溢出[MS02-039][CVE-2002-0649] |
|
事件级别: |
中级事件 |
|
安全类型: |
缓冲溢出 |
|
事件描述: |
检测到源IP主机试图攻击微软的MS02-039漏洞。一旦攻击成功,攻击者可能获得被攻击主机的系统权限,从而实现对被攻击主机的完全控制。MS02-039是Microsoft SQL Server 2000的Resolution服务由于对用户提交的UDP包缺少正确的处理而产生的栈缓冲区溢出漏洞。 |
|
更新时间: |
20180601 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
HTTP_木马_msfte(T-APT-02)_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了msfte。msfte是一个功能强大的木马,主要功能有:插件加载、上传插件收集的文件和接收C2下发的远程控制命令。 |
|
更新时间: |
20180601 |
|
默认动作: |
丢弃 |
京公网安备11010802024551号