2018-08-17
发布时间 2018-08-17新增事件
事件名称: |
HTTP_Realtek_SDK_miniigd_SOAP服务远程代码执行漏洞(CVE-2014-8361) |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机通过构造NewInternalClient请求远程利用代码执行漏洞攻击目的IP主机的行为,试图通过远程执行任意命令,尝试下载并执行mira或者mira变种僵尸网络。 Realtek rtl81xx SDK是rtl81xx系列网卡驱动程序。Realtek rtl81xx SDK的miniigd SOAP服务没有正确过滤NewInternalClient函数内的用户输入,即开始执行系统调用,存在远程代码执行漏洞,远程攻击者通过构造的NewInternalClient请求,利用此漏洞可执行任意代码。 |
更新时间: |
20180817 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Joomla_Component_Proclaim_Backup_File_Download[CVE-2018-7317] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Joomla Component Proclaim Backup File Download漏洞对目的主机进行攻击的行为。 Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。Proclaim是使用在其中的一个支持在线学习并观看多媒体内容的组件。 Joomla! Proclaim 9.1.1版本中存在安全漏洞。攻击者可通过对backup/目录下的.sql文件发送直接请求利用该漏洞下载备份文件。 |
更新时间: |
20180817 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Joomla_CWTags_Searchtext_SQL_Injection[CVE-2018-7313] |
事件级别: |
中级事件 |
安全类型: |
CGI攻击 |
事件描述: |
检测到源IP主机正在利用Joomla CW Tags Searchtext SQL Injection漏洞对目的主机进行攻击的行为。 Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。CW Tags是使用在其中的一个标签系统组件。 Joomla! CW Tags 2.0.6版本中存在SQL注入漏洞。远程攻击者可借助‘searchtext’数组参数利用该漏洞查看、添加、更改或删除后端数据库中的信息。 |
更新时间: |
20180817 |
默认动作: |
丢弃 |
事件名称: |
HTTP_TrendNet_AUTHORIZED_GROUP_Information_Disclosure[CVE-2018-7034] |
事件级别: |
中级事件 |
安全类型: |
网络设备攻击 |
事件描述: |
检测到源IP主机正在利用TrendNet AUTHORIZED_GROUP Information Disclosure漏洞对目的主机进行攻击的行为。 TRENDnet TEW-751DR、TEW-752DRU和TEW733GR都是美国趋势网络(TRENDnet)公司的无线路由器产品。 TRENDnet TEW-751DR 1.03B03版本、TEW-752DRU 1.03B01版本和TEW733GR 1.03B01版本中存在输入验证漏洞。远程攻击者借助AUTHORIZED_GROUP=1利用该漏洞绕过身份验证。 |
更新时间: |
20180817 |
默认动作: |
丢弃 |
修改事件
事件名称: |
HTTP_木马后门_webshell_JSP_疑似JSP木马上传 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP主机正向目的主机上传JSP代码,疑似木马上传。 |
更新时间: |
20180817 |
默认动作: |
丢弃 |
事件名称: |
UDP_黑暗幽灵(DCM)木马_恶意通信 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图进行恶意通信的行为。 该木马主要功能是窃取计算机各种信息,通过插件监控监听各种常用聊天软件的语音文字聊天信息,接受指令进行简单的远程操控,将自动化收集到的各种信息文件打包发送。 |
更新时间: |
20180817 |
默认动作: |
丢弃 |
事件名称: |
FTP_木马_AgentTesla_Keylogger_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了AgentTesla Keylogger。 AgentTesla Keylogger是一个功能强大的窃密木马,可窃取包括浏览器、邮件、FTP、剪贴板等客户端保存的账号密码。还可以截取屏幕并上传。 |
更新时间: |
20180817 |
默认动作: |
丢弃 |