2019-06-18
发布时间 2019-06-19新增事件
|
事件名称: |
TCP_Oracle_WebLogic_反序列化漏洞[CNVD-C-2019-48814/CVE-2019-2725] |
|
事件级别: |
高级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP利用weblogic反序列化漏洞进行攻击的行为 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_Oracle_WebLogic_反序列化漏洞探测[CNVD-C-2019-48814/CVE-2019-2725] |
|
事件级别: |
高级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP利用weblogic反序列化漏洞进行攻击的行为 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Coremail_配置信息泄露漏洞[CNVD-2019-16798] |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP正在利用Coremail_配置信息泄露漏洞进行攻击的行为 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_RigExploitKit_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到漏洞利用工具包Rig试图下载恶意软件,源IP主机正在浏览的网页很可能被植入了恶意的脚本代码,被定向到漏洞利用工具包Rig的页面,导致下载恶意软件。 Exploit Kit是漏洞利用工具包,预打包了安装程序、控制面板、恶意代码以及相当数量的攻击工具。一般来说,Exploit Kit会包含一系列不同的漏洞利用代码。攻击者会向合法的网站注入恶意的脚本或代码,以重定向到Exploit Kit页面。受害者浏览网页时即加载Exploit Kit的各种漏洞利用代码,最终下载其它恶意软件。 Rig是2014年出现的一款Exploit Kit即漏洞利用工具包,主要以Java,Flash和Silverlight漏洞为目标。 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_webshell_jsp_string_byte变形 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP主机正向目的主机上传或下载jsp木马 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_watchbog_挖矿木马下载 |
|
事件级别: |
高级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到远程执行命令中包含下载watchbog挖矿木马行为 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Nexus_Repository_Manager_3远程代码执行漏洞[CVE-2019-7238] |
|
事件级别: |
高级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
Nexus Repository Manager用于搭建Maven私服,用于管理报告和文档的项目管理软件 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
修改事件
|
事件名称: |
TCP_后门_njRat_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。 njRAT是一个C#语言编写的后门,功能异常强大,可完全控制被感染机器。目前已发现使用njRAT对中东国家发起攻击的案例。主要针对能源、电信、政府等重要目标。 njRAT可以窃取敏感信息,如键盘记录、主流浏览器(Firefox、Google Chrome、Opera)保存的密码、焦点窗口标题等,也可以截取被感染机器桌面。 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_Boer远控_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
Boer远控是一款国内的远程控制软件,可以对远程主机进行任意操作。 特洛伊木马(Trojan)是后门程序的一种。典型的木马程序为服务器/客户端结构,一般情况下入侵者通过利用某种漏洞取得主机的控制权后,设法在被攻击的主机上运行木马程序的服务器端,之后就可以从远程利用客户端程序通过对主机上的服务器端程序进行访问而完全控制该主机,在管理员毫无所知的情况下执行任意程序、访问任意文件等各种非法操作。因此木马程序是一种危害极大的恶意程序,如果发现主机上存在木马程序,则主机肯定已经遭到了入侵,需要尽快采取措施。 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_后门_VBS.H.Worm.Rat_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。 H-worm是一个基于VBS语言的后门,功能非常强大。H-worm借鉴了njRAT的开源代码,服务端为使用VBS脚本编写的蠕虫病毒,适用于Windows全系操作系统并且使用了比较先进的User-Agent传递数据的方式,主要传播方式有三种:电子邮件附件、恶意链接和被感染的U盘传播,蠕虫式的传播机制会形成大量的感染。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性,一直被黑产所青睐而活跃至今。 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
UDP_后门_Win32.ZeroAcess_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。 源IP所在的主机可能被植入了木马。 Win32.ZeroAcess是一个后门,运行后,注入其他进程。下载其他病毒或者配置信息或者模块等或窃取敏感信息。 上报该事件有两种可能,一是源主机被感染了,连接CC服务器;二是ZeroAcess服务器端通过shadan代理方式进行扫描行为,主要看源IP是否是本单位的IP地址。 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_Trojan.Win32.Rombertik_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Rombertik。
Rombertik是一个窃取敏感信息的木马,具有高度复杂的逃避检测和防止分析技术,还能够删除受害者硬盘数据,以使计算机无法正常使用。运行后把自身注入到浏览器进程,收集用户浏览Web网站时的所有信息以及用户登录凭证和其他敏感数据。Rombertik主要通过邮件传播。 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
TCP_木马后门_Win32/Linux_ircBot_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到ircBot试图连接远程服务器。源IP所在的主机可能被植入了ircBot。 ircBot是基于irc协议的僵尸网络,主要功能是对指定目标主机发起DDoS攻击。还可以下载其他病毒到被植入机器。 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_webshell_PHP_eval一句话webshell |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP主机正向目的主机上传PHP eval一句话webshell木马。 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
TTP_木马后门_webshell_JSP_一句话木马 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP主机正向目的主机上传jsp cmd小马。 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
|
事件名称: |
HTTP_木马后门_ASP_webshell一句话木马 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到源IP主机正向目的主机上传ASP一句话木马的行为 攻击者尝试向服务器上传ASP一句话木马文件,如果上传成功将通过一句话木马连接工具对服务器进行控制。 |
|
更新时间: |
20190618 |
|
默认动作: |
丢弃 |
删除事件
1. POP3_FOXMAILD_USER_远程缓冲区溢出漏洞利用[CVE-2005-0635/0636]
2. FTP_ArGoSoft_DELE_远程缓冲区溢出漏洞利用[CVE-2005-0696]
3. TCP_CA服务器_GETCONFIG远程溢出漏洞利用[CVE-2005-0581]
4. ICMP_固定源IP的PING_FLOOD攻击
5. ICMP_PING主机分布扫描
京公网安备11010802024551号