2019-07-26
发布时间 2019-07-25新增事件
事件名称: |
HTTP_木马_Win32.achs_连接 |
事件级别: |
中级事件 |
安全类型: |
木马攻击 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了achs木马。 achs是一个基于Python语言的木马,使用HTTP协议与C&C进行通信并上传敏感信息。 |
更新时间: |
20190726 |
默认动作: |
丢弃 |
事件名称: |
TCP_DATAC_Control_RealWin_SCADA_System数据包处理缓冲区溢出漏洞 |
事件级别: |
中级事件 |
安全类型: |
缓冲溢出 |
事件描述: |
检测到源IP主机正试图通过DATAC Control RealWin SCADA System数据包处理缓冲区溢出漏洞攻击目的IP主机。 RealWin是运行在Windows平台上的数据采集与监视控制系统(SCADA)服务器产品。如果远程攻击者向RealWin服务器发送了特制的FC_INFOTAG/SET_CONTROL报文的话,就可以触发栈溢出,导致执行任意代码。 RealWin服务器使用专有协议接受来自FlewWin客户端的连接,无需拥有有效凭据便可以利用这个漏洞。检测到源IP主机正试图通过DATAC Control RealWin SCADA System数据包处理缓冲区溢出漏洞攻击目的IP主机。 RealWin是运行在Windows平台上的数据采集与监视控制系统(SCADA)服务器产品。 如果远程攻击者向RealWin服务器发送了特制的FC_INFOTAG/SET_CONTROL报文的话,就可以触发栈溢出,导致执行任意代码。RealWin服务器使用专有协议接受来自FlewWin客户端的连接,无需拥有有效凭据便可以利用这个漏洞。 |
更新时间: |
20190726 |
默认动作: |
丢弃 |
事件名称: |
TCP_木马后门_DarkDcm_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了DarkDcm。 DarkDcm是一个功能强大的后门,使用UDP协议与C&C进行通信。 |
更新时间: |
20190726 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Yealink_SIP-T38G_远程代码执行漏洞 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用HTTP_Yealink_SIP-T38G_远程代码执行漏洞攻击目的IP主机的行为。 |
更新时间: |
20190726 |
默认动作: |
丢弃 |
事件名称: |
HTTP_ZeroShell_远程代码执行漏洞 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用HTTP_ZeroShell_远程代码执行漏洞攻击目的IP主机的行为。 |
更新时间: |
20190726 |
默认动作: |
丢弃 |
事件名称: |
TCP_Redis_v4.x-v5.x加载恶意拓展文件远程命令执行 |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP利用redis加载恶意文件漏洞进行攻击的行为。 |
更新时间: |
20190726 |
默认动作: |
丢弃 |
事件名称: |
TCP_Redis_未授权访问getshell漏洞 |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP利用redis未授权访问漏洞进行攻击的行为。 |
更新时间: |
20190726 |
默认动作: |
通过 |
修改事件
事件名称: |
UDP_木马后门_DarkDcm_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了DarkDcm。 DarkDcm是一个功能强大的后门,使用UDP协议与C&C进行通信。 |
更新时间: |
20190726 |
默认动作: |
丢弃 |