2019-05-17
发布时间 2019-05-17新增事件
事件名称: |
HTTP_木马_PS.Unk.EB.Spreader |
事件级别: |
中级 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP主机可能被植入了PS.Unk.EB.Spreader。 PS.Unk.EB.Spreader是一个powershell木马,扫描永恒之蓝漏洞,并把扫描结果回传给C&C。 |
更新时间: |
20190517 |
默认动作: |
丢弃 |
事件名称: |
HTTP_x-up-devcap-post-charset_请求编码绕过攻击 |
事件级别: |
中级 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Web服务器x-up-devcap-post-charset非utf-8请求编码绕过漏洞攻击的行为。 |
更新时间: |
20190517 |
默认动作: |
丢弃 |
事件名称: |
HTTP_SQLiteManager_多页面XSS注入漏洞[CVE-2012-5015] |
事件级别: |
中级 |
安全类型: |
注入攻击 |
事件描述: |
检测到源IP主机正在利用HTTP_SQLiteManager_多页面XSS注入漏洞攻击的行为。 |
更新时间: |
20190517 |
默认动作: |
丢弃 |
事件名称: |
TCP_SQLiteManager_目录穿越漏洞[CVE-2007-1232] |
事件级别: |
中级 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用TCP_SQLiteManager_目录穿越漏洞攻击的行为。 |
更新时间: |
20190517 |
默认动作: |
丢弃 |
修改事件
事件名称: |
TCP_后门_VBS.H.Worm.Rat_连接 |
事件级别: |
中级 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。 H-worm是一个基于VBS语言的后门,功能非常强大。H-worm借鉴了njRAT的开源代码,服务端为使用VBS脚本编写的蠕虫病毒,适用于Windows全系操作系统并且使用了比较先进的User-Agent传递数据的方式,主要传播方式有三种:电子邮件附件、恶意链接和被感染的U盘传播,蠕虫式的传播机制会形成大量的感染。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性,一直被黑产所青睐而活跃至今。 |
更新时间: |
20190517 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马_Win32.Andromeda_连接 |
事件级别: |
中级 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Andromeda。 Andromeda是一个模块化的僵尸网络,运行期间,会从C&C服务器下载各类模块。具有反虚拟机和反调试的功能。 |
更新时间: |
20190517 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Weblogic_wls-wsat_远程代码执行漏洞[CVE-2017-3506/10271] |
事件级别: |
高级 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP地址主机正在向目的IP地址主机发起Weblogic wls-wsat远程代码执行漏洞攻击的行为。 Oracle Weblogic Server是应用程序服务器。 Oracle Weblogic Server 10.3.6.0、12.2.1.2、12.2.1.1、12.1.3.0 版本存在该漏洞。Weblogic WLS组件允许远程攻击者执行任意命令。攻击者向Weblogic服务器发送精心构造的HTTP恶意请求,攻击成功可以获取到服务器的Webshell,进一步可以获得目标服务器的控制权。 |
更新时间: |
20190517 |
默认动作: |
丢弃 |
事件名称: |
TCP_JavaRMI反序列化_远程命令执行漏洞[CVE-2017-3241] |
事件级别: |
中级 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP利用TCP_JavaRMI反序列化远程命令执行漏洞进行攻击的行为。 |
更新时间: |
20190517 |
默认动作: |
丢弃 |
事件名称: |
TCP_Oracle_WebLogic_反序列化漏洞[CNVD-C-2019-48814]_sub1 |
事件级别: |
高级 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP利用weblogic反序列化漏洞进行攻击的行为。 |
更新时间: |
20190517 |
默认动作: |
丢弃 |
事件名称: |
|
事件级别: |
高级 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP利用weblogic反序列化漏洞进行攻击的行为。 |
更新时间: |
20190517 |
默认动作: |
丢弃 |
删除事件
事件名称: |
HTTP_Weblogic_wls-wsat_远程代码执行漏洞2[CVE-2017-3506/10271] |
事件级别: |
高级 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP地址主机正在向目的IP地址主机发起Weblogic wls-wsat远程代码执行漏洞攻击的行为。 Oracle Weblogic Server是应用程序服务器。 Oracle Weblogic Server 10.3.6.0、12.2.1.2、12.2.1.1、12.1.3.0 版本存在该漏洞。Weblogic WLS组件允许远程攻击者执行任意命令。攻击者向Weblogic服务器发送精心构造的HTTP恶意请求,攻击成功可以获取到服务器的Webshell,进一步可以获得目标服务器的控制权。 |
更新时间: |
20190517 |
默认动作: |
丢弃 |