2018-11-23
发布时间 2018-11-23新增事件
事件名称: |
TCP_木马_TrickBot.Pwgrab_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TrickBot。 TrickBot是一个功能强大的窃密木马。Trickbot新增加了一个窃密模块Pwgrab,可以窃取主流浏览器如IE、Firefox、Chrome、Edge保存的账号密码及Cookies等数据。还可以窃取Outlook、FileZilla、WinSCP等客户端保存的账号密码. |
更新时间: |
|
默认动作: |
丢弃 |
事件名称: |
HTTP_木马_幽虫木马_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了幽虫木马。 幽虫木马通常以盗版系统、伪装激活工具、捆绑外挂及破解软件等方式感染用户机器。用户一旦中招,便会被篡改浏览器主页,并被静默安装推广程序或窃密木马 |
更新时间: |
20181123 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马_Muhstik.Scaner_Report_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到Linux.Muhstik试图连接远程服务器。源IP所在的主机可能被植入了Linux.Muhstik。 Linux.Muhstik是一个类Linux系统下的Iot僵尸网络,利用各种漏洞如Drupa进行传播,使用了各种牟利方式,如挖矿等。还可以对指定目标主机发起DDoS攻击。Muhstik新添加了针对phpmyadmin服务器的扫描模块,发现漏洞,即把url报告给自己的C&C服务器 |
更新时间: |
20181123 |
默认动作: |
丢弃 |
事件名称: |
HTTP_UEditor编辑器任意文件上传漏洞 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用UEditor编辑器的controller.ashx页面上传文件, UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,该页面存在一个上传任意文件的漏洞,攻击者通过伪造前缀合法的文件名,中间添加截断符号,使得任意文件均可上传 |
更新时间: |
20181123 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Apache_Commons_Fileupload_反序列化漏洞[CVE-2016-1000031] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Apache_Commons_Fileupload_反序列化漏洞攻击目的IP主机的行为 |
更新时间: |
20181123 |
默认动作: |
丢弃 |
修改事件
事件名称: |
TCP_后门_Linux.Muhstik_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到Linux.Muhstik试图连接远程服务器。源IP所在的主机可能被植入了Linux.Muhstik。 Linux.Muhstik是一个Linux系统下的僵尸网络,使用了各种漏洞如Drupal漏洞进行传播,使用了各种牟利方式,如挖矿等。还可以对指定目标主机发起DDoS攻击 |
更新时间: |
20181123 |
默认动作: |
丢弃 |
事件名称: |
TCP_木马_Win32.TrickBot_NetworkCollectorModule |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TrickBot。 TrickBot是一个功能强大的窃密木马。Trickbot银行木马中包含Network Collector Module,该模块可以搜集用户信息上传至服务器 |
更新时间: |
20181123 |
默认动作: |
丢弃 |