2018-09-21
发布时间 2018-09-21新增事件
事件名称: |
TCP_Winbox任意目录文件读取[CVE-2018-14847] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正试图通过Winbox任意目录文件读取漏洞攻击目的IP主机。 MikroTik RouterOS是一套路由操作系统。Winbox for MikroTik RouterOS是一个用于管理MikroTik RouterOS系统的应用程序。 Winbox for MikroTik RouterOS 6.42及之前版本中存在安全漏洞。远程攻击者可通过修改请求利用该漏洞绕过身份验证并读取任意文件。 |
更新时间: |
20180921 |
默认动作: |
丢弃 |
事件名称: |
UDP_Winbox任意目录文件读取[CVE-2018-14847] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正试图通过Winbox任意目录文件读取漏洞攻击目的IP主机。 MikroTik RouterOS是一套路由操作系统。Winbox for MikroTik RouterOS是一个用于管理MikroTik RouterOS系统的应用程序。 Winbox for MikroTik RouterOS 6.42及之前版本中存在安全漏洞。远程攻击者可通过修改请求利用该漏洞绕过身份验证并读取任意文件。 |
更新时间: |
20180921 |
默认动作: |
丢弃 |
事件名称: |
HTTP_后门_KuriyamaLoader_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Kuriyama Loader。 Kuriyama Loader是一个僵尸网络,主要功能是对指定目标主机发起DDoS攻击。也可以下载其它恶意样本并执行,还可以创建或结束指定进程。 |
更新时间: |
20180921 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Malware_PowerPool_连接服务器 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到PowerPool试图连接远程服务器。源IP所在的主机可能被植入了PowerPool。 PowerPool分为两个阶段:第一阶段通过服务建立持久性。第二阶段从http://[C&C domain]/cmdpool执行命令,从http://[C&C domain]/upload下载文件,支持的命令包括如下: Execute a command Kill a process Upload a file Download a file List a folder |
更新时间: |
20180921 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Gh0st.OceanLotus_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Gh0st.OceanLotus。 Gh0st.OceanLotus是APT组织海莲花使用后门,基于Gh0st源码修改而来。运行后可以完全控制被感染机器。 |
更新时间: |
20180921 |
默认动作: |
丢弃 |
修改事件
事件名称: |
TCP_后门_Linux.DDoS.IptabLex_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DDoS.IptabLex。 DDoS.IptabLex是一个Linux僵尸网络,主要功能是对指定目标机器发起DDoS攻击。 |
更新时间: |
20180921 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_Win32.Micropsia_GetCC |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Micropsia。 Micropsia是一个功能强大的后门,运行后盗取用户信息。 |
更新时间: |
20180921 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Adobe_ColdFusion反序列化漏洞[CVE-2018-15958/15959] |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正试图通过Adobe ColdFusion漏洞攻击目的IP主机。 Adobe ColdFusion的FlashGateway服务存在反序列化漏洞,未经身份验证的攻击者向目标Adobe ColdFusion的FlashGateway服务发送精心构造的恶意数据,可远程执行任意代码。 |
更新时间: |
20180921 |
默认动作: |
丢弃 |