2018-08-03
发布时间 2018-08-03新增事件
|
事件名称: |
TCP_木马后门_Win32.Sunorcal_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入Sunorcal。 Sunorcal是一个后门,功能非常强大。运行后,可完全控制被植入机器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_PoisonIvy_Keepalive_连接4 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到PoisonIvy的心跳包数据。源IP所在的主机可能被植入了Poison Ivy。 Poison Ivy是一个被广泛应用的远程控制工具,允许攻击者完全控制被植入机器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_木马后门_Kronus_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Kronus。 Kronus是一个基于CSharp的远控,功能非常强大。运行后,可完全控制被植入机器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_update.tmp(APT-C-12)_连接服务器 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。 update.tmp文件为一个DLL,并有一个名为jj的导出函数。其首先会对目标主机进行信息收集,信息收集后会首先向远程控制服务器发送上线信息。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Wordpress_Sixtees_Shell上传漏洞 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP主机正在利用Wordpress Sixtees Shell上传漏洞攻击目的IP主机的行为。Wordpress Sixtees主题中存在Shell上传漏洞。攻击者利用该漏洞上传任意文件到受影响计算机,导致在受影响应用程序上下文中执行任意代码。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Wordpress_Dandelion主题_Shell上传漏洞 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP主机正在利用Wordpress Dandelion主题Shell上传漏洞攻击目的IP主机的行为。Wordpress Dandelion主题中存在Shell上传漏洞。攻击者利用该漏洞上传任意文件到受影响计算机,导致在受影响应用程序上下文中执行任意代码。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_webshell_可疑webshell_上传后门程序_1_2 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP地址主机正在向目的IP地址主机传送可疑的webshell文件。 webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_webshell_可疑webshell_上传后门程序_2_2 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP地址主机正在向目的IP地址主机传送可疑的webshell文件。 webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马_FileUploader.winfont(白象)_连接_2 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了winfont。 winfont.exe为文档收集模块,主要功能为遍历计算机目录获取特定文档并发送给远程服务器,该样本会创建一个240000ms间隔的定时器,并每间隔240000ms遍历特定后缀文件,最后构造POST包,将获取的.doc, .docx, .xls, .xlsx, .pdf, .ppt, .pptx, .csv类型文件内容直接通过HTTP表单提交的方式发送至远程服务器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马_Zeus连接9 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Zeus木马。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_Win32.Avzhan.DDoS.Bot_连接_2 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Avzhan。 Avzhan是一个后门,主要功能是对指定目的主机发起DDoS攻击。还可以下载其他病毒到被植入机器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_AppScan9_Content_Web漏洞扫描_2 |
|
事件级别: |
低级事件 |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机正在利用AppScan 9漏洞扫描工具对目的主机进行Web应用漏洞扫描的行为,尝试扫描发现Web应用系统漏洞,为进一步入侵目的IP主机做准备。 AppScan 9是一款商用的针对Web应用的安全漏洞扫描软件。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Acunetix11_AWVS11_Content_Web漏洞扫描1_2 |
|
事件级别: |
低级事件 |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机正在利用Acunetix11(AWVS11)漏洞扫描工具对目的主机进行Web应用漏洞扫描的行为,尝试扫描发现Web应用系统漏洞,为进一步入侵目的IP主机做准备。 Acunetix11(AWVS11)是一款商用的针对Web应用的安全漏洞扫描软件。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_SQL错误信息泄露_4_2 |
|
事件级别: |
低级事件 |
|
安全类型: |
安全审计 |
|
事件描述: |
检测到源IP主机正试图利用目的IP主机的SQL错误信息,可能造成信息泄露。 SQL(Structured Query Language)结构化查询语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
修改事件
|
事件名称: |
HTTP_木马后门_webshell_可疑webshell_上传后门程序_1 => HTTP_木马后门_webshell_可疑webshell_上传后门程序_1_1 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP地址主机正在向目的IP地址主机传送可疑的webshell文件。 webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_webshell_可疑webshell_上传后门程序_2 => HTTP_木马后门_webshell_可疑webshell_上传后门程序_2_1 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP地址主机正在向目的IP地址主机传送可疑的webshell文件。 webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_Win32.Avzhan.DDoS.Bot_连接 => TCP_后门_Win32.Avzhan.DDoS.Bot_连接_1 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Avzhan。 Avzhan是一个后门,主要功能是对指定目的主机发起DDoS攻击。还可以下载其他病毒到被植入机器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马_FileUploader.winfont(白象)_连接 => HTTP_木马_FileUploader.winfont(白象)_连接_1 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了winfont。 winfont.exe为文档收集模块,主要功能为遍历计算机目录获取特定文档并发送给远程服务器,该样本会创建一个240000ms间隔的定时器,并每间隔240000ms遍历特定后缀文件,最后构造POST包,将获取的.doc, .docx, .xls, .xlsx, .pdf, .ppt, .pptx, .csv类型文件内容直接通过HTTP表单提交的方式发送至远程服务器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_webshell_可疑webshell_上传后门程序_1_1 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP地址主机正在向目的IP地址主机传送可疑的webshell文件。 webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_DDoS.Win32.Nitol_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。 DDoS.Win32.Nitol是近来最活跃的恶意DDoS攻击家族之一。 DDoS.Win32.Nitol连接远程服务器,接收黑客指令,向目标域或网站发起DDoS攻击。还可以下载其他病毒到被感染机器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_webshell_可疑webshell_上传后门程序_2_1 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP地址主机正在向目的IP地址主机传送可疑的webshell文件。 webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_SQL错误信息泄露_4 |
|
事件级别: |
低级事件 |
|
安全类型: |
安全审计 |
|
事件描述: |
检测到源IP主机正试图利用目的IP主机的SQL错误信息,可能造成信息泄露。 SQL(Structured Query Language)结构化查询语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_Win32.Avzhan.DDoS.Bot_连接_1 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Avzhan。 Avzhan是一个后门,主要功能是对指定目的主机发起DDoS攻击。还可以下载其他病毒到被植入机器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_DDoS.Win32.Nitol变种_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Nitol。 DDoS.Win32.Nitol是非常活跃的恶意DDoS攻击家族之一,而且变种极其多。 DDoS.Win32.Nitol连接远程服务器,接收黑客指令,向目标域或网站发起DDoS攻击。还可以下载其他病毒到被感染机器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马_Zeus连接3 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Zeus木马。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马_FileUploader.winfont(白象)_连接_1 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了winfont。 winfont.exe为文档收集模块,主要功能为遍历计算机目录获取特定文档并发送给远程服务器,该样本会创建一个240000ms间隔的定时器,并每间隔240000ms遍历特定后缀文件,最后构造POST包,将获取的.doc, .docx, .xls, .xlsx, .pdf, .ppt, .pptx, .csv类型文件内容直接通过HTTP表单提交的方式发送至远程服务器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Acunetix11_AWVS11_Content_Web漏洞扫描1 |
|
事件级别: |
低级事件 |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机正在利用Acunetix11(AWVS11)漏洞扫描工具对目的主机进行Web应用漏洞扫描的行为,尝试扫描发现Web应用系统漏洞,为进一步入侵目的IP主机做准备。 Acunetix11(AWVS11)是一款商用的针对Web应用的安全漏洞扫描软件。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_AppScan9_Content_Web漏洞扫描 |
|
事件级别: |
低级事件 |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机正在利用AppScan 9漏洞扫描工具对目的主机进行Web应用漏洞扫描的行为,尝试扫描发现Web应用系统漏洞,为进一步入侵目的IP主机做准备。 AppScan 9是一款商用的针对Web应用的安全漏洞扫描软件。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_PoisonIvy_Keepalive_连接2 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到PoisonIvy的心跳包数据。源IP所在的主机可能被植入了Poison Ivy。 Poison Ivy是一个被广泛应用的远程控制工具,允许攻击者完全控制被植入机器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_PoisonIvy_Keepalive_连接3 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到PoisonIvy的心跳包数据。源IP所在的主机可能被植入了Poison Ivy。 Poison Ivy是一个被广泛应用的远程控制工具,允许攻击者完全控制被植入机器。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Wordpress_file-away插件_文件泄露漏洞 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP主机正在利用WordPress file-away插件文件泄露漏洞攻击目的IP主机的行为。 WordPress file-away插件存在文件泄露漏洞,远程攻击者可借助‘../’字符利用该漏洞读取任意文件。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_勒索软件_GandCrab_v4 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到勒索软件试图连接远程服务器。源IP所在的主机可能被植入了GandCrab。 GandCrab是著名勒索软件。运行后,受害者主机文件会被加密,并要求缴纳赎金。 外联链接用于进行配置文件下载,用于进行勒索软件的落地。 |
|
更新时间: |
20180803 |
|
默认动作: |
丢弃 |
京公网安备11010802024551号