2018-12-21
发布时间 2018-12-21新增事件
|
事件名称: |
HTTP_assert变量替换php小马_上传 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门木马脚本上传 |
|
更新时间: |
20181221 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_chr()函数字母转换php小马_上传 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门木马脚本上传 |
|
更新时间: |
20181221 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_无字母型php小马_上传 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门木马脚本上传 |
|
更新时间: |
20181221 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_Gh0st.feedckkfy_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Gh0st.feedckkfy。 Gh0st.feedckkfy是利用一个根据Gh0st远控的源码修改而来的后门。运行后可完全控制被植入机器。 |
|
更新时间: |
20181221 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_木马后门_Win32.IndSocket_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了IndSocket。 IndSocket是一个功能强大的后门,运行后可完全控制被植入机器。 |
|
更新时间: |
20181221 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_目录遍历[../] |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP地址试图通过..来非法访问目的IP地址主机文件。如果使用恶意的参数提交访问,可能会造成信息泄漏、拒绝服务等危害产生。 目录遍历攻击的目标通常是没有对客户端请求的文件作适当的路径验证的web,或者web应用,以及ftp服务 |
|
更新时间: |
20181221 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_webshell_jsp一句话_上传后门程序 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP地址主机正在向目的IP地址主机传送可疑的webshell文件。 webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
|
更新时间: |
20181221 |
|
默认动作: |
丢弃 |
修改事件
|
事件名称: |
HTTP_Malware_KardonLoader_连接服务器 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到Kardon Loader试图连接远程服务器。源IP所在的主机可能被植入了Kardon Loader。 Kardon Loader是一个全功能的下载器,可以下载和安装其他恶意软件。例如,银行木马/凭证窃取软件等。 |
|
更新时间: |
20181221 |
|
默认动作: |
丢弃 |
京公网安备11010802024551号