2019-08-13
发布时间 2019-08-13新增事件
事件名称: |
HTTP_Apache_Solr远程反序列化代码执行漏洞[CVE-2019-0192] |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Apache Solr远程反序列化代码执行漏洞对目的主机进行攻击的行为。 Apache Solr是一个开源的搜索服务器。Solr使用Java语言开发,主要基于HTTP和 Apache Lucene实现。Apache Solr solr.RunExecutableListener类存在远程代码执行漏洞,攻击者向网站发送精心构造的攻击payload,攻击成功可以远程执行任意命令,进而控制服务器。 |
更新时间: |
20190813 |
默认动作: |
丢弃 |
事件名称: |
HTTP_ZyXEL_P660HN-T1A_命令注入漏洞[CVE-2017-18368] |
事件级别: |
高级事件 |
安全类型: |
注入攻击 |
事件描述: |
检测到源IP主机试图利用ZyXEL P660HN-T1A命令注入漏洞攻击目的IP主机的行为 ZyXEL P660HN-T1A是中国台湾合勤(ZyXEL)公司的一款无线路由器。 ZyXEL P660HN-T1A(hardware v1版本和TrueOnline固件340ULM0b31版本)中存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。 |
更新时间: |
20190813 |
默认动作: |
丢弃 |
事件名称: |
TCP_Redis_未授权访问_漏洞扫描 |
事件级别: |
中级事件 |
安全类型: |
安全扫描 |
事件描述: |
检测到源IP尝试扫描redis未授权访问漏洞的行为 |
更新时间: |
20190813 |
默认动作: |
丢弃 |
事件名称:
TCP_后门_暗影远控_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到暗影远控试图连接远程服务器。源IP所在的主机可能被植入了暗影远控。
暗影远控是一个功能强大远控,运行后可完全控制被植入机器。
更新时间:
20190813
默认动作:
丢弃
事件名称:
HTTP_木马后门_LordExploitKit_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到漏洞利用工具包Lord试图下载恶意软件,源IP主机正在浏览的网页很可能被植入了恶意的脚本代码,被定向到漏洞利用工具包Lord的页面,导致下载恶意软件。
Exploit
Kit是漏洞利用工具包,预打包了安装程序、控制面板、恶意代码以及相当数量的攻击工具。一般来说,Exploit Kit会包含一系列不同的漏洞利用代码。攻击者会向合法的网站注入恶意的脚本或代码,以重定向到Exploit Kit页面。受害者浏览网页时即加载Exploit Kit的各种漏洞利用代码,最终下载其它恶意软件。
Lord是2019年出现的一款Exploit Kit即漏洞利用工具包,主要以Flash漏洞为目标。
更新时间:
20190813
默认动作:
丢弃
事件名称:
TCP_Redis_认证错误
事件级别:
中级事件
安全类型:
安全扫描
事件描述:
检测到源IP的Redis_认证错误的行为。
更新时间:
20190813
默认动作:
通过
事件名称:
TCP_SCADA_Schneider_Electric_Modbus_Serial_Driver基于栈的缓冲区溢出漏洞[CVE-2013-0662]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用Schneider Electric Modbus Serial
Driver基于栈的缓冲区溢出漏洞对目的主机进行攻击的行为。
Schneider
Electric Modbus Serial Driver是法国施耐德电气(Schneider Electric)公司的一套Modbus系列(串行通讯设备类型管理器)的驱动程序。
Schneider
Electric Modbus Serial Driver 1.10至3.2版本中的ModbusDrv.exe文件中存在基于栈的缓冲区溢出漏洞。远程攻击者可借助Modbus Application Header中大的buffer-size值利用该漏洞执行任意代码。
更新时间:
20190813
默认动作:
丢弃
事件名称:
TCP_SCADA_Schneider_Electric_Interactive_Graphical_SCADA_System缓冲区溢出漏洞[CVE-2013-0657]
事件级别:
中级事件
安全类型:
缓冲溢出
事件描述:
该事件表明源IP主机正试图通过Schneider缓冲区溢出漏洞攻击目的IP主机。
Schneider
Electric Interactive Graphical SCADA System (IGSS) 10和较早版本中存在基于栈的缓冲区溢出漏洞。远程攻击者利用该漏洞执行任意代码。
更新时间:
20190813
默认动作:
通过
修改事件
事件名称: |
TCP_后门_KG.Rat_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。 源IP所在的主机可能被植入了木马。 KuGou.Rat是一个后门,连接远程服务器,接受执行黑客指令,可以完全控制被感染机器。试图获取敏感,如记录按键信息,获取焦点窗口的标题。 |
更新时间: |
20190813 |
默认动作: |
丢弃 |