2018-10-19
发布时间 2018-10-19新增事件
事件名称: |
TCP_后门_Win32.Remcos_连接1 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Remcos。 Remcos是一个功能强大的远控,运行后可完全控制被植入机器。 |
更新时间: |
20181019 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Joomla_Raffle_Factory_3.5.2_SQL注入漏洞[CVE-2018-17379] |
事件级别: |
中级事件 |
安全类型: |
CGI攻击 |
事件描述: |
检测到源IP主机正在利用Joomla Raffle Factory 3.5.2漏洞对目的主机进行SQL注入的攻击行为。 Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。CW Tags是使用在其中的一个标签系统组件。 Raffle Factory 3.5.2版本中存在SQL注入漏洞。远程攻击者可借助‘filter order Dir’数组参数利用该漏洞查看、添加、更改或删除后端数据库中的信息。 |
更新时间: |
20181019 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Joomla_Component_Article_Factory_Manager_4.3.9_SQL注入漏洞[CVE-2018 -17380] |
事件级别: |
中级事件 |
安全类型: |
CGI攻击 |
事件描述: |
检测到源IP主机正在利用Joomla Component Article Factory Manager 4.3.9漏洞对目的主机进行SQL注入的攻击行为。 Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。CW Tags是使用在其中的一个标签系统组件。 Component Article Factory Manager 4.3.9版本中存在SQL注入漏洞。远程攻击者可借助‘filter search’数组参数利用该漏洞查看、添加、更改或删除后端数据库中的信息。 |
更新时间: |
20181019 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Joomla_Component_Jobs_Factory_2.0.4_SQL注入漏洞[CVE-2018 -17382] |
事件级别: |
中级事件 |
安全类型: |
CGI攻击 |
事件描述: |
检测到源IP主机正在利用Joomla_Component_Jobs_Factory_2.0.4漏洞对目的主机进行SQL注入的攻击行为。 Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。CW Tags是使用在其中的一个标签系统组件。 Component Jobs Factory 2.0.4版本中存在SQL注入漏洞。远程攻击者可借助‘filter_order’数组参数利用该漏洞查看、添加、更改或删除后端数据库中的信息。 |
更新时间: |
20181019 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Joomla_Component_Collection_Factory_4.1.9_SQL注入漏洞[CVE-2018 -17383] |
事件级别: |
中级事件 |
安全类型: |
CGI攻击 |
事件描述: |
检测到源IP主机正在利用Joomla Component Collection Factory 4.1.9漏洞对目的主机进行SQL注入的攻击行为。 Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。CW Tags是使用在其中的一个标签系统组件。 Component Collection Factory 4.1.9版本中存在SQL注入漏洞。远程攻击者可借助‘filter_order’数组参数利用该漏洞查看、添加、更改或删除后端数据库中的信息。 |
更新时间: |
20181019 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Bacula-Web_job.php_GET_request_SQL注入漏洞 |
事件级别: |
中级事件 |
安全类型: |
CGI攻击 |
事件描述: |
检测到源IP主机正在利用Bacula-Web job.php GET request SQL注入漏洞攻击目的IP主机的行为。 Bacula-Web是一套基于Web的用于报告和监控Bacula(备份软件)的应用程序。 Bacula-Web 8.0.0-rc2之前版本中存在SQL注入漏洞。远程攻击者可利用该漏洞访问Bacula数据库,提升权限。 |
更新时间: |
20181019 |
默认动作: |
丢弃 |
事件名称: |
TCP_Weblogic反序列化漏洞[CVE-2018-3245] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Weblogic反序列化漏洞攻击目的IP主机的行为 |
更新时间: |
20181019 |
默认动作: |
丢弃 |
修改事件
事件名称: |
HTTP_GNU_Bash远程任意代码执行[CVE-2014-6271/7169] |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
GNU Bash(Bourne again shell)是一个为GNU计划编写的Unix shell,广泛使用在Linux系统内,最初的功能仅是一个简单的基于终端的命令解释器。 GNU Bash 4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。 远程任意代码执行是一种远程控制攻击方法,通过远程代码执行,攻击者能够控制被攻击者的主机。 |
更新时间: |
20181019 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Win32.Remcos_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Remcos。 Remcos是一个功能强大的远控,运行后可完全控制被植入机器。 |
更新时间: |
20181019 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Linux.DDoS.Gafgyt_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DDoS.Gafgyt。 DDoS.Gafgyt是一个Linux僵尸网络,主要功能是对指定目标机器发起DDoS攻击。 |
更新时间: |
20181019 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Win32.Torchwood_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门Torchwood。 Torchwood是一个功能非常强大的后门,运行后可以完全控制被植入机器。主要通过CHM文件传播。 |
更新时间: |
20181019 |
默认动作: |
丢弃 |
事件名称: |
TCP_木马后门_DanaBot_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到DanaBot的Main dll试图下载其它组件。源IP所在的主机可能被植入了DanaBot。 DanaBot是一个银行木马,包含一个下载组件。下载组件运行后会下载核心Main dll组件。Main dll下载VNC、Stealer、Sniffer等组件,完成窃密。 |
更新时间: |
20181019 |
默认动作: |
丢弃 |