2019-06-07
发布时间 2019-06-07新增事件
事件名称: |
TCP_后门_MSIL.VanillaRat_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了VanillaRat。
VanillaRat是一个基于CSharp的远控,运行后可完全控制被植入机器。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Win32.WarZoneRat_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了WarZoneRat。
WarZoneRat是一个功能强大的远控,运行后可完全控制被植入机器。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马_Win32.Krypton_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Krypton。 Krypton是一个木马程序,运行后可以窃取受害主机的敏感信息。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马_Win.Qbot/QakBot银行木马_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
Qbot又称QakBot,是一款复杂的银行木马,首次出现于2009年。利用先进的新技术来规避检测并保护自己免受人工分析。 Qbot银行木马旨在针对企业银行账户,窃取用户资金,其主要通过共享驱动器和可移动设备来实现网络蠕虫功能。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Win32.expertRAT_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马expert。 Expert RAT 是一个远控程序,运行后可以完全控制被感染机器。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
HTTP_SOCA访问控制系统180612_跨站脚本攻击 |
事件级别: |
中集事件 |
安全类型: |
XSS攻击 |
事件描述: |
日懋科技专业研发生产SOCA门禁系统,感应机、指纹机、电锁等多样商品营销遍及国内外。 SOCA Access Control System 180612、170000和141007版本中存在跨站脚本漏洞。攻击者可以利用此漏洞执行任意的HTML脚本。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
HTTP_安全漏洞_Sierra_Wireless_AirLink_ES450_信息泄露漏洞[CVE-2018-4067] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
Sierra Wireless AirLink ES450是加拿大Sierra Wireless公司的一款蜂窝网络调制解调器设备。 使用4.9.3版本固件的Sierra Wireless AirLink ES450中的ACEManager template_load.cgi功能存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Moodle_Jmol_Filter6.1_目录遍历 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Moodle_Jmol_Filter6.1中存在的目录遍历漏洞进行攻击的行为 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
HTTP_JBoss默认配置漏洞[CVE-2010-0738CVE-2007-1036] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用JBoss_后台远程部署war包GetShell漏洞攻击目的IP主机的行为,试图通过后台部署war包获取到WebShell进一步入侵目的IP主机。 JBoss是一个基于J2EE的开放源代码的应用服务器。攻击者一般利用JBoss未授权访问漏洞进入管理后台页面,并部署war包获取网站的WebShell。该事件是防护攻击者通过远程获取WebShell的行为,如果服务器需要正常部署war包,请在内网环境进行操作。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Joomla!_Component_JiFile_2.3.1_任意文件下载漏洞 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正试图通过Joomla组件中存在的任意文件下载漏洞攻击目的IP主机的行为。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Interspire_Email_Marketer_6.20_surveys_submit_远程执行代码 |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机试图攻击Interspire Email Marketer服务器。一旦攻击成功,攻击者可能获得被攻击主机的系统权限,从而实现对被攻击主机的完全控制。 Interspire Email Marketer是世界顶级邮件群发平台。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
HTTP_D-Link_DSL-2780B_远程DNS篡改漏洞 |
事件级别: |
中级事件 |
安全类型: |
欺骗劫持 |
事件描述: |
检测到源IP主机正在利用HTTP_D-Link_DSL-2780B_远程DNS篡改漏洞攻击目的IP主机的行为 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
HTTP_D-Link_DSL-2740R_远程DNS篡改漏洞 |
事件级别: |
中级事件 |
安全类型: |
欺骗劫持 |
事件描述: |
检测到源IP主机正在利用HTTP_D-Link_DSL-2740R_远程DNS篡改漏洞攻击目的IP主机的行为 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
修改事件
事件名称: |
HTTP_木马_双子星doc_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能正在打开恶意的双子星doc。
双子星doc是一个嵌入了恶意宏的office文档,恶意宏同时针对Windows和Mac系统。宏代码会上传受害者系统的信息。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_Win32.Difobot_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到Difobot试图连接远程服务器。源IP所在的主机可能被植入了Difobot。 Difobot是一个通过USB和Dropbox传播自身的蠕虫,还有窃密功能,如窃取Bitcoin钱包数据、主流浏览器的Cookie、键盘记录、截屏等。 |
更新时间: |
20190607 |
默认动作: |
丢弃 |
删除事件
1. SMTP_MAILENABLE_AUTH远程缓冲区溢出攻击尝试[CVE-2005-2223]
2. HTTP_IIS_RSA_SECURID_webagent_溢出攻击[CVE-2005-1471]
3. NFS_FreeBSD_NFS_挂接请求拒绝服务漏洞利用[CVE-2006-0900]
4. HTTP_WordPress_thumb参数任意文件删除漏洞[CVE-2018-12895]
5. HTTP_木马后门_Win32.Zediv_连接
6. HTTP_木马_Drun.Downloader_连接
7. TCP_Microsoft_License_Logging远程代码执行漏洞利用[MS05-010]1[CVE-2005-0050]