2019-04-04
发布时间 2019-04-04
新增事件
事件名称: |
HTTP_D-Link_DIR-140L_DIR-640L_远程未认证获取设备管理员凭据漏洞 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用HTTP_D-Link_DIR-140L_DIR-640L_远程未认证获取设备管理员凭据漏洞攻击目的IP主机的行为。 |
更新时间: |
|
默认动作: |
丢弃 |
事件名称: |
HTTP_Cisco_RV320_路由器_1.4.2.15_命令注入漏洞 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用HTTP_Cisco_RV320_路由器_1.4.2.15_命令注入漏洞攻击目的IP主机的行为。 |
更新时间: |
20190405 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_Win32.ServHelper_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门ServHelper试图连接远程服务器。源IP所在的主机可能被植入了后门ServHelper。 ServHelper是黑客组织TA505所使用的一个后门,最早在2018年11月发现。一直在更新,不停有新命令被加进来。 |
更新时间: |
20190405 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_VBS.SLoad_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门SLoad试图连接远程服务器。源IP所在的主机可能被植入了vbs后门SLoad。 SLoad是一个基于VBS脚本的后门,利用了CVE-2018-20250漏洞进行传播。共支持4个命令:d(删除自身)、Pr(下载执行其它恶意样本)、Hw(获取硬件信息)、av(获取安装的杀软)。 |
更新时间: |
20190405 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Gh0st.nbLGX_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Gh0st.nbLGX。 Gh0st.nbLGX是利用一个根据Gh0st远控的源码修改而来的后门。运行后可完全控制被植入机器。 |
更新时间: |
20190405 |
默认动作: |
丢弃 |
事件名称: |
HTTP_WordPress插件GraceMedia_Media_Player1.0本地文件包含漏洞 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用WordPress插件GraceMedia_Media_Player1.0本地文件包含攻击目的IP主机的行为,试图通过对特定参数传入恶意代码或命令来入侵目的IP主机。 |
更新时间: |
20190405 |
默认动作: |
丢弃 |
修改事件
事件名称: |
TCP_僵尸网络MyKings后门_PcStart连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马PcStart,MyKing是一个功能强大的多重僵尸网络,整个僵尸网络由botnet.-1/0/1/2/3/4组成,botnet.0支撑了多数其他子僵尸网络的构建过程,其他各自拥有独立的上联控制端。其功能有僵尸网络、代理网络、挖矿网络。同时使用远控木马,黑客可以完全控制失陷计算机,控制之后可以做任何事情,其中就有窃取文件,监控屏幕,监控摄像头,监听麦克风。 |
更新时间: |
20190405 |
默认动作: |
丢弃 |