2018-08-10
发布时间 2018-08-10新增事件
|
事件名称: |
TCP_后门_Win32.IRC.Athena_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Athena。 Athena是一个基于IRC协议的僵尸网络,主要功能是对指定目标主机发起DDoS攻击。还可以下载其它病毒到被植入机器。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_Win32.SkyWyder_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了SkyWyder。 SkyWyder是一个功能强大的后门,运行后可完全控制被植入机器。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_OrientDB_远程代码执行漏洞 |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用OrientDB远程代码执行漏洞攻击目的IP主机的行为,试图通过远程执行任意代码或命令。 OrientDB是一款图形数据库管理系统,具有较好的环境适应性。OrientDB 2.2.2 - 2.2.22版本存在远程代码执行漏洞,攻击者可以通过POST请求提交精心构造的的恶意代码或命令,攻击成功可以获取到数据库的控制权。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_AVTECH_网络摄像机_信息泄露漏洞 |
|
事件级别: |
中级事件 |
|
安全类型: |
网络设备攻击 |
|
事件描述: |
检测到源IP主机正在利用AVTECH网络摄像机信息泄露漏洞攻击目的IP主机的行为,试图通过利用信息泄露漏洞,获取网络摄像机的敏感配置信息。 AVTECH网络摄像机,通常是视频监控系统中的重要组成部分。检测到AVTECH网络摄像机存在信息泄露漏洞,攻击者通过访问指定的URL,可以获取到网络摄像机的敏感配置信息。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_AVTECH_DVR_数字视频录像机_远程代码执行漏洞 |
|
事件级别: |
中级事件 |
|
安全类型: |
网络设备攻击 |
|
事件描述: |
检测到源IP主机正在利用AVTECH DVR数字视频录像机远程代码执行漏洞攻击目的IP主机的行为,试图通过远程执行任意命令,尝试通过该设备进行挖矿或者DoS攻击等非法行为。 AVTECH DVR数字视频录像机,通常是视频监控系统中的重要组成部分。AVTECH DVR数字视频录像机存在远程代码执行漏洞,攻击者可以通过GET请求中的username参数注入任意代码或命令,进而完全控制录像机。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_AVTECH_NVR_网络硬盘录像机_远程代码执行漏洞 |
|
事件级别: |
中级事件 |
|
安全类型: |
网络设备攻击 |
|
事件描述: |
检测到源IP主机正在利用AVTECH NVR网络硬盘录像机远程代码执行漏洞攻击目的IP主机的行为,试图通过远程执行任意命令,尝试通过该设备进行挖矿或者DoS攻击等非法行为。 AVTECH NVR网络硬盘录像机,通常是视频监控系统中的重要组成部分。AVTECH NVR网络硬盘录像机存在远程代码执行漏洞,攻击者可以通过GET请求中的pwd参数注入任意代码或命令,进而完全控制录像机。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_WebLogic_ws_utc_重置当前工作目录异常行为[CVE-2018-2894] |
|
事件级别: |
中级事件 |
|
安全类型: |
|
|
事件描述: |
检测到源IP主机尝试在Oracle WebLogic服务器的ws_utc页面执行重置当前工作目录操作的异常行为,试图通过开启Web测试页面并通过重置当前工作目录,企图将Webshell写入具有权限的目录。 WebLogic是美国Oracle公司出品的应用程序服务器,是一个基于Java EE架构的Web中间件。WebLogic存在任意文件上传漏洞,攻击者通过指定URL来上传JSP木马,进而获得WebLogic服务器的控制权。此外,该漏洞利用条件特殊,需要登陆后台开启Web测试页面。请密切关注Oracle官方发布的漏洞补丁,及时进行补丁更新以确保服务器安全。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_WebLogic_ws_utc_任意文件上传漏洞[CVE-2018-2894] |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用Oracle WebLogic ws_utc页面的任意文件上传漏洞攻击目的IP主机的行为,试图通过Web测试页面的上传功能获取目标服务器的Webshell。 WebLogic是美国Oracle公司出品的应用程序服务器,是一个基于Java EE架构的Web中间件。WebLogic存在任意文件上传漏洞,攻击者通过指定URL来上传JSP木马,进而获得WebLogic服务器的控制权。此外,该漏洞利用条件特殊,需要登陆后台开启Web测试页面。请密切关注Oracle官方发布的漏洞补丁,及时进行补丁更新以确保服务器安全。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_WebLogic_ws_utc_任意文件上传攻击成功GetWebshell |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用Oracle WebLogic服务器任意文件上传漏洞上传Webshell的行为。该事件检测服务器响应报文,如果产生该事件报警请高度关注,您的服务器可能已经被入侵。 WebLogic是美国Oracle公司出品的应用程序服务器,是一个基于Java EE架构的Web中间件。WebLogic存在任意文件上传漏洞,攻击者通过指定URL来上传JSP木马,进而获得WebLogic服务器的控制权。此外,该漏洞利用条件特殊,需要登陆后台开启Web测试页面。请密切关注Oracle官方发布的漏洞补丁,及时进行补丁更新以确保服务器安全。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Jenkins任意文件读取漏洞[CVE-2018-1999002] |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用Jenkins任意文件读取漏洞攻击目的IP主机的行为,试图通过任意文件读取漏洞获取系统敏感文件,进而获取目标服务器的控制权。 Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具。Jenkins存在任意文件读取漏洞,攻击者通过在Accept-Language头部注入攻击代码来获取到服务器的敏感信息,进而获取服器的控制权。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_木马_Bisonal_连接服务器 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到Bisonal试图连接远程服务器。源IP所在的主机可能被植入了Bisonal。 Bisonal会在Temp和Windows目录中加载文件,然后再继续连接到Internet并启用对受感染PC的远程访问。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_OpenText_Documentum_D2_远程代码执行漏洞[CVE-2017-5586] |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用OpenText Documentum D2远程代码执行漏洞攻击目的IP主机的行为,试图通过远程执行任意代码或命令。 EMC Documentum D2是美国易安信(EMC)公司的一套企业级内容管理系统。该系统通过创建、修改、跟踪等功能管理整个信息生命周期,其包括了多个扩展产品,如 Documentum Web Publisher(Web内容管理)、Documentum Records Manager(记录管理)等。EMC Documentum D2存在远程代码执行漏洞。攻击者可利用漏洞在受影响的应用程序环境中执行任意代码,失败的攻击会造成拒绝服务。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Sony_IPELA-E系列网络摄像头远程代码执行漏洞[CVE-2018-3937] |
|
事件级别: |
中级事件 |
|
安全类型: |
网络设备攻击 |
|
事件描述: |
检测到源IP主机正在利用Sony IPELA E系列网络摄像头远程代码执行漏洞攻击目的IP主机的行为,试图通过远程执行任意命令,尝试通过该设备进行挖矿或者DoS攻击等非法行为。 索尼是世界视听、电子游戏、通讯产品和信息技术等领域的先导者,是世界最早便携式数码产品的开创者,是世界最大的电子产品制造商之一。Sony IPELA E系列网络摄像头存在远程命令执行漏洞,攻击者可以通过POST请求中的measurement参数注入任意代码或命令,进而完全控制网络摄像头。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
修改事件
|
事件名称: |
TCP_后门_Win32.Remcos_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Remcos。 Remcos是一个功能强大的远控,运行后可完全控制被植入机器。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Drupal_7.x_Core_远程代码执行漏洞[CVE-2018-7600] |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用Drupal Core远程代码执行漏洞对目的主机进行攻击的行为。 Drupal是一个十分流行的开源的CMS。Drupal Core 7.x版本存在PHP远程代码执行漏洞,攻击者可以发送精心构造的攻击payload,远程执行任意PHP代码。漏洞的原因是当用户可控#value的值,同时在Drupal 7进行render操作时可以远程执行任意代码。 |
|
更新时间: |
20180810 |
|
默认动作: |
丢弃 |
京公网安备11010802024551号