2019-01-04
发布时间 2019-01-04新增事件
事件名称: |
HTTP_木马后门_DDoS.Sieren_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到Sieren试图连接远程服务器。源IP所在的主机可能被植入了Sieren。 Sieren是一个功能强大的Bot,主要功能是对指定目标主机发起DDoS攻击。支持3种模式的DDoS:HTTP flood、HTTPS flood、UDP flood。还支持3个命令:dlexec、update、Uninstall。 |
更新时间: |
20190104 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_ASP_Webshell_split&Ubound混淆木马上传 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP主机正向目的主机上传ASP变形木马 攻击者尝试向服务器上传一句话木马文件,如果上传成功将通过一句话木马连接工具对服务器进行控制。 |
更新时间: |
20190104 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_ASP_i0day站文件下载木马 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP主机正向目的主机上传webshell木马的行为 攻击者尝试向服务器上传下载文件木马文件,如果上传成功将通过一句话木马连接工具对服务器进行控制。 |
更新时间: |
20190104 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_vbs_webshell一句话木马 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP主机正向目的主机上传VBS一句话木马的行为 攻击者尝试向服务器上传VBS一句话木马文件,如果上传成功将通过一句话木马连接工具对服务器进行控制。 |
更新时间: |
20190104 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_ASP_webshell一句话木马 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP主机正向目的主机上传ASP一句话木马的行为 攻击者尝试向服务器上传ASP一句话木马文件,如果上传成功将通过一句话木马连接工具对服务器进行控制。 |
更新时间: |
20190104 |
默认动作: |
丢弃 |
事件名称: |
HTTP_php反序列化小马_上传 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门木马脚本上传 |
更新时间: |
20190104 |
默认动作: |
丢弃 |
事件名称: |
HTTP_call_user_func_回调函数_php小马_上传 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门木马脚本上传 |
更新时间: |
20190104 |
默认动作: |
丢弃 |
事件名称: |
HTTP_create_function_回调函数_php小马_上传 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门木马脚本上传 |
更新时间: |
20190104 |
默认动作: |
丢弃 |
事件名称: |
TCP_Oracle_WebLogic_反序列化漏洞[CVE-2018-2893] |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP主机正在利用Oracle WebLogic反序列化远程代码执行漏洞,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。 WebLogic是美国Oracle公司出品的应用程序服务器,是一个基于Java EE架构的Web中间件。WebLogic存在Java反序列化远程代码执行高危安全漏洞。攻击者通过发送一个精心构造的Java序列化恶意代码,当WebLogic执行Java反序列化的过程中执行恶意代码,从而导致远程代码执行。由于WebLogic修复漏洞采用了黑名单过滤机制,有时候可能导致漏洞修复不彻底新的反序列化远程代码执行漏洞频发,因此请密切关注Oracle官方发布的漏洞补丁,及时进行补丁更新以确保服务器安全。 |
更新时间: |
20190104 |
默认动作: |
丢弃 |
修改事件
事件名称: |
HTTP_木马_ArkeiStealer_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Arkei Stealer。 Arkei Stealer是一个功能强大的窃密木马,可窃取主流浏览器保存的账号密码、各类加密货币钱包等敏感数据,并打包上传到C&C服务器。 |
更新时间: |
20190104 |
默认动作: |
丢弃 |
事件名称: |
HTTP_后门_Win32.Neutrino_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门Neutrino。 Neutrino是一个僵尸网络,功能非常强大,运行后可完全控制被植入机器。 |
更新时间: |
20190104 |
默认动作: |
丢弃 |