2019-06-22
发布时间 2019-06-22新增事件
事件名称: |
TCP_NSA_EternalChampion_(永恒冠军)_SMB远程代码执行漏洞Sync_Response[MS17-010] |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Microsoft Windows SMB远程代码执行漏洞进行攻击的行为。 Microsoft Windows是微软发布的非常流行的操作系统。 如果攻击者向 Microsoft 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
TTCP_NSA_EternalChampion_(永恒冠军)_SMB远程代码执行漏洞Sync_Request[MS17-010] |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Microsoft Windows SMB远程代码执行漏洞进行攻击的行为。 Microsoft Windows是微软发布的非常流行的操作系统。 如果攻击者向 Microsoft 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
TCP_NSA_EternalRomance_(永恒浪漫)_SMB远程代码执行漏洞3[MS17-010] |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Microsoft Windows SMB远程代码执行漏洞进行攻击的行为。 Microsoft Windows是微软发布的非常流行的操作系统。 如果攻击者向 Microsoft 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
TCP_NSA_EternalRomance_(永恒浪漫)_SMB远程代码执行漏洞2[MS17-010] |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到漏洞利用工具包Rig试图下载恶意软件,源IP主机正在浏览的网页很可能被植入了恶意的脚本代码,被定向到漏洞利用工具包Rig的页面,导致下载恶意软件。 Exploit Kit是漏洞利用工具包,预打包了安装程序、控制面板、恶意代码以及相当数量的攻击工具。一般来说,Exploit Kit会包含一系列不同的漏洞利用代码。攻击者会向合法的网站注入恶意的脚本或代码,以重定向到Exploit Kit页面。受害者浏览网页时即加载Exploit Kit的各种漏洞利用代码,最终下载其它恶意软件。 Rig是2014年出现的一款Exploit Kit即漏洞利用工具包,主要以Java,Flash和Silverlight漏洞为目标。 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
TCP_NSA_EternalRomance_(永恒浪漫)_SMB远程代码执行漏洞1[MS17-010] |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正向目的主机上传或下载jsp木马 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_ASP_webshell一句话木马下载 |
事件级别: |
高级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到远程执行命令中包含下载watchbog挖矿木马行为 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Nexus_Repository_Manager_3远程代码执行漏洞[CVE-2019-7238] |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
Nexus Repository Manager用于搭建Maven私服,用于管理报告和文档的项目管理软件 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
修改事件
事件名称: |
TCP_后门_Gh0st.DHLAR_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门DHLAR。 Gh0st.DHLAR是利用一个根据Gh0st远控的源码修改而来的后门,运行后可以完全控制被植入机器。 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
HTTP_僵尸网络_MiraiXMiner_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到僵尸网络MiraiXMiner试图连接远程服务器。源IP所在的主机可能被植入了MiraiXMiner。 MiraiXMiner是一个仍然活跃着的僵尸网络,融合了多种已知病毒家族,包括Mirai、MyKings、远控、挖矿等。利用永恒之蓝漏洞、闭路电视物联网设备漏洞、MSSQL漏洞、RDP爆破和Telnet爆破等方式传播自身。 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
TCP_NSA_Windows_SMB_DoublePulsar植入成功2 |
事件级别: |
高级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到通过MS17-010的漏洞植入DoublePulsar后门的行为。 Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。SMBv1 server是其中的一个服务器协议组件。DoublePulsar是一个后门程序,用于在已感染的系统上注入和运行恶意代码。 Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。远程攻击者可借助特制的数据包利用该漏洞植入DoublePulsar后门。 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_webshell_china_chopper_customize控制命令 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
该事件表明源IP地址主机上的中国菜刀客户端正在向目的IP地址主机上的webshell服务器端发出控制命令。 webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_webshell_jsp_Runtime-reflect |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP主机正向目的主机上传或下载jsp木马 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
HTTP_fastjson_JSON反序列化_远程代码执行漏洞[CVE-2017-18349] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用fastjsonJSON反序列化远程代码执行漏洞对目的主机进行攻击的行为,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。 fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞。开发者在使用fastjson时,如果编写不当,可能导致JSON反序列化远程代码执行漏洞。攻击者通过发送一个精心构造的JSON序列化恶意代码,当程序执行JSON反序列化的过程中执行恶意代码,从而导致远程代码执行。 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
TCP_Oracle_WebLogic_反序列化漏洞[CVE-2015-4852/2018-2628] |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP利用weblogic反序列化漏洞进行攻击的行为 Oracle Weblogic Server是应用程序服务器。 Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0版本中,WLS Security组件允许远程攻击者执行任意命令。攻击者通过向TCP端口7001发送T3协议流量,其中包含 精心构造的序列化Java对象利用此漏洞。此漏洞影响到WLS Security Handler的文件 oracle_common/modules/com.bea.core.apache.commons.collections.jar内一个未知的函数。 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_ASP_webshell一句话木马上传 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP主机正向目的主机上传ASP一句话木马的行为 攻击者尝试向服务器上传ASP一句话木马文件,如果上传成功将通过一句话木马连接工具对服务器进行控制。 |
更新时间: |
20190622 |
默认动作: |
丢弃 |
删除事件
1. IMAP_find_缓冲区溢出攻击尝试[CVE-2000-0284]
2. IMAP_list_缓冲区溢出攻击尝试1[CVE-2000-0284]
3. TCP_Microsoft_UPnP_NOTIFY_缓冲区溢出攻击[CVE-2001-0876]