2018-10-12
发布时间 2018-10-12新增事件
|
事件名称: |
HTTP_后门_OSX_OCEANLOTUS.D(海莲花)_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门OceanLotus。OceanLotus是一个功能强大的后门,主要通过邮件传播。OceanLotus运行后,会尝试获取敏感信息,也可执行C&C返回指令,去下载其他后门。 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_后门_Win32.Nokki_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门Nokki试图连接远程服务器。源IP所在的主机可能被植入了Nokki。Nokki是一个功能强大的后门,首次出现是在2018年一月,主要针对欧洲、东南亚等地区。 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Apache_Portals_Pluto_3.0.0远程代码执行漏洞[CVE-2018-1306] |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用Apache PortletV3AnnotatedDemo.MultipartPortlet插件文件上传漏洞攻击目的IP主机的行为。 PortletV3AnnotatedDemo.MultipartPortlet插件存在文件上传漏洞,远程攻击者可利用该漏洞上传任意文件。 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_NVRMini2_绕过身份验证修改用户密码[CVE-2018-1150] |
|
事件级别: |
低级事件 |
|
安全类型: |
可疑行为 |
|
事件描述: |
检测到源IP主机试图利用NVRMini2_绕过身份验证修改用户密码攻击目的IP主机的行为。如果存在名为/ tmp / moses的文件,则启用后门。它允许在系统上列出所有用户帐户,并允许某人更改任何帐户的密码。 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_NVRMini2_cgi_system_缓冲区溢出漏洞[CVE-2018-1149] |
|
事件级别: |
中级事件 |
|
安全类型: |
缓冲溢出 |
|
事件描述: |
检测到源IP主机试图利用NVRMini2_cgi_system缓冲区溢出漏洞攻击目的IP主机的行为。 NVRMini2使用开源Web服务器,通过公共网关接口(CGI)协议支持一些可执行二进制文件。可以在NVRMini2上执行的CGI二进制文件之一是“cgi_system”,可以通过http:// xxxx / cgi-bin / cgi_system访问它。此二进制文件处理需要用户进行身份验证的各种命令和操作。在身份验证期间,不检查cookie参数的会话ID大小,这允许sprintf函数中的堆栈缓冲区溢出。此漏洞允许使用“root”或管理员权限执行远程代码。 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Joomla_Component_Music_Collection_3.0.3_SQL注入漏洞[CVE-2018-17375] |
|
事件级别: |
中级事件 |
|
安全类型: |
CGI攻击 |
|
事件描述: |
检测到源IP主机试图利用Joomla_Component_Music_Collection_3.0.3_SQL_Injection漏洞攻击目的IP主机。 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Joomla_Component_Reverse_Auction_Factory_4.3.8_SQL_Injection[CVE-2018-17376] |
|
事件级别: |
中级事件 |
|
安全类型: |
CGI攻击 |
|
事件描述: |
检测到源IP主机试图利用Joomla_Component_Reverse_Auction_Factory_4.3.8_SQL_Injection漏洞攻击目的IP主机。 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Joomla_Component_Questions_1.4.3_SQL_Injection[CVE-2018-17377] |
|
事件级别: |
中级事件 |
|
安全类型: |
CGI攻击 |
|
事件描述: |
检测到源IP主机正试图通过Apache Struts2远程代码执行漏洞对目的主机进行攻击的行为。 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一款用于创建企业级JavaWeb应用的开源框架。 Apache Struts 2.0.0至2.3.15.1版本中存在安全漏洞,该漏洞源于程序默认启用Dynamic Method Invocation机制。远程攻击者可利用此漏洞在受影响应用上下文中执行任意代码。 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Joomla_Component_Penny_Auction_Factory_2.0.4_SQL_Injection[CVE-2018-17378] |
|
事件级别: |
中级事件 |
|
安全类型: |
CGI攻击 |
|
事件描述: |
检测到源IP主机试图利用Joomla_Component_Questions_1.4.3_SQL_Injection漏洞攻击目的IP主机。 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_Malware_VPNFilter_变种连接CC |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到VPNFilter试图通过SYN隧道技术获取C&C的IP地址。 该恶意软件通过利用路由器、网关、防火墙等物联网设备漏洞进行广泛的感染和传播 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
修改事件
|
事件名称: |
TCP_后门_ZXShell_反向连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
该事件源IP所在的主机可能被植入了ZXShell木马,木马的控制者可以通过该木马对被植入木马的主机实施完全的控制。 ZXShell是一款远程控制程序,主要功能如下: 远程抓屏,视频捕获,文件管理、注册表管理、进程管理、键盘记录、远程执行文件,远程下载文件等功能。 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_Linux.DDoS.Gafgyt_连接 |
|
中级事件 |
|
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DDoS.Gafgyt。 DDoS.Gafgyt是一个Linux僵尸网络,主要功能是对指定目标机器发起DDoS攻击 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马_Win32.TaskHost.Stealer_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TaskHost。 TaskHost是一个窃密木马,会上传特定后缀名的文件到其C&C,如.doc、.xls、.pdf、.ppt、.eml、.msg、.rtf等。 |
|
更新时间: |
20181012 |
|
默认动作: |
丢弃 |
京公网安备11010802024551号