2019-07-12
发布时间 2019-07-12新增事件
事件名称: |
HTTP_IOT漏洞_Fortinet_FortiCam_FCM-MB40网络摄像头远程命令执行漏洞 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Fortinet FortiCam FCM-MB40漏洞攻击目的IP主机的行为 FortiCam FCM-MB40是美国飞塔公司的一款网络摄像头,管理Web界面中存在未经过过滤的输入漏洞,当管理用户进行身份验证时,会导致root权限远程命令执行。 |
更新时间: |
20190712 |
默认动作: |
丢弃 |
事件名称: |
TCP_木马_Win32.TrickBot_CookiesDll64_Module |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TrickBot。 TrickBot是一个功能强大的窃密木马。Trickbot银行木马中包含CookiesDll64模块,该模块可以搜集用户的Cookies信息上传至服务器。 |
更新时间: |
20190712 |
默认动作: |
丢弃 |
事件名称: |
HTTP_SQLiteManager_HTML注入漏洞[CVE-2007-1231] |
事件级别: |
中级事件 |
安全类型: |
注入攻击 |
事件描述: |
检测到源IP主机正在利用HTTP_SQLiteManager_HTML注入漏洞攻击的行为。 SQLiteManager是一个支持多国语言基于Web的SQLite数据库管理工具.它的特点包括多数据库管理,创建和连接;表格,数据,索引操作;视图,触发器,和自定义函数管理.数据导入/导出;数据库结构导出. |
更新时间: |
20190712 |
默认动作: |
丢弃 |
事件名称: |
TCP_Struts2_devmode_远程命令执行漏洞 |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用TCP_Struts2_devmode_远程命令执行漏洞的行为。 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一款用于创建企业级Java Web应用的开源框架。 dev模式不应该开启并开放到互联网,在此模式下将会任意执行ognl表达式。 |
更新时间: |
20190712 |
默认动作: |
丢弃 |
事件名称: |
HTTP_D-Link_DIR-823G_重启漏洞[CVE-2018-17880] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用HTTP_D-Link_DIR-823G_重启漏洞对目的主机进行攻击的行为。 |
更新时间: |
20190712 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_Ratsnif.OceanLotus_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门Ratsnif试图连接远程服务器。源IP所在的主机可能被植入了Ratsnif。 Ratsnif是APT组织海莲花使用的后门,拥有强大的网络攻击能力,包括拦截网络流量、欺骗域名系统、向HTTP注入恶意攻击代码。 |
更新时间: |
20190712 |
默认动作: |
丢弃 |
事件名称: |
HTTP_WordPress_Plugin_Plainview_Activity_Monitor远程命令执行漏洞[CVE-2018-15877] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用WordPress_Plugin_Plainview_Activity_Monitor远程命令执行漏洞攻击目的IP主机的行为 |
更新时间: |
20190712 |
默认动作: |
丢弃 |
修改事件
事件名称:
TCP_木马_CoinMiner_连接矿池成功
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CoinMiner木马。
CoinMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。
更新时间:
20190712
默认动作:
丢弃
事件名称: |
HTTP_Tomcat_PUT方法远程代码执行漏洞[CVE-2017-12615_12616_12617] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP地址主机正在向目的IP地址主机发起Tomcat PUT方法远程代码执行漏洞攻击的行为。 Tomcat服务器是一个免费的开放源代码的 Web 应用服务器。 Tomcat 7.x存在利用PUT方法远程代码执行攻击的漏洞。Tomcat默认配置无法触发该漏洞,只有当readonly参数被设置为false,即允许使用PUT方法上传文件时,攻击者可以利用该漏洞上传一个JSP文件,进而远程执行任意代码。 |
更新时间: |
20190712 |
默认动作: |
丢弃 |