2019-08-27
发布时间 2019-08-27新增事件
事件名称: |
HTTP_Weblogic-wls_远程命令执行[CVE-2017-10271] |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用HTTP_Weblogic-wls_远程命令执行[CVE-2017-10271]攻击目的IP主机的行为。 |
更新时间: |
20190827 |
默认动作: |
丢弃 |
事件名称: |
HTTP_apache-solr_远程代码执行漏洞[CVE-2019-0193] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
CMS攻击检测到源IP主机正在利用TCP_Exim_远程命令执行漏洞[CVE-2019-10149]攻击目的IP主机的行为。 |
更新时间: |
20190827 |
默认动作: |
丢弃 |
事件名称: |
TCP_ALTMAN3_后门连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP主机正在利用ALTMAN3后门管理工具连接后门攻击目的IP主机的行为。 |
更新时间: |
20190827 |
默认动作: |
丢弃 |
事件名称:
TCP_后门_AbsoluteZero_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到 AbsoluteZero木马 试图连接远程服务器。源IP所在的主机可能被植入了AbsoluteZero木马。
AbsoluteZero木马是一个功能强大远控,运行后可完全控制被植入机器。
更新时间:
20190827
默认动作:
丢弃
事件名称:
TCP_后门_HVNCRat_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到HVNCRat试图连接远程服务器。源IP所在的主机可能被植入了远控HVNCRat。
HVNCRat是一个远程控制工具,允许攻击者控制被植入机器,并上传被控主机的各种敏感信息。
更新时间:
20190827
默认动作:
丢弃
事件名称:
HTTP_OpenVAS_漏洞扫描
事件级别:
低级事件
安全类型:
安全扫描
事件描述:
检测到源IP主机正在利用OpenVAS漏洞扫描工具对目的主机进行漏洞扫描的行为。
更新时间:
20190827
默认动作:
通过
事件名称:
HTTP_ASUS_DSL_N12E_C1_远程命令执行漏洞[CVE-2018-15887]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用HTTP_ASUS_DSL_N12E_C1_远程命令执行漏洞[CVE-2018-15887]攻击目的IP主机的行为。
更新时间:
20190827
默认动作:
通过
事件名称:
HTTP_SCADA_Microsys_PROMOTIC_空指针引用漏洞[CVE-2014-1617]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正试图通过Microsys PROMOTIC ActiveX控件中存在的安全漏洞攻击目的IP主机。
MICROSYSPROMOTIC是捷克MICROSYS公司的一套用在工业领域的基于Windows平台的监控与数据采集人机界面(SCADA/HMI)软件编程套件。
该攻击事件利用Microsys PROMOTIC ActiveX 控件中的空指针引用漏洞。漏洞是由于对用户向start方法的输入缺乏检查而产生。未经身份验证的远程攻击者利用此漏洞可导致目标系统上的浏览器崩溃。
更新时间:
20190820
默认动作:
通过
事件名称:
HTTP_SCADA_PROMOTIC_ActiveX_Control_不安全方法调用漏洞[CVE-2011-4519]
事件级别:
中级事件
安全类型:
缓冲溢出
事件描述:
检测到源IP主机正试图通过Microsys PROMOTIC ActiveX控件不安全方法调用漏洞攻击目的IP主机。
PROMOTIC是捷克共和国MICROSYS公司的一款基于Windows的SCADA软件。
MICROSYS
PROMOTIC 8.1.5之前版本中的ActiveX组件中存在基于栈的缓冲区溢出漏洞。远程攻击者可通过特制网页利用该漏洞导致拒绝服务。
更新时间:
20190827
默认动作:
通过
事件名称:
HTTP_SCADA_PROMOTIC_ActiveX_Control_不安全方法调用漏洞[CVE-2011-4520]
事件级别:
中级事件
安全类型:
缓冲溢出
事件描述:
检测到源IP主机正试图通过Microsys PROMOTIC ActiveX控件不安全方法调用漏洞攻击目的IP主机。
PROMOTIC是捷克共和国MICROSYS公司的一款基于Windows的SCADA软件。
MICROSYS
PROMOTIC 8.1.5之前版本中的ActiveX组件中存在基于堆的缓冲区溢出漏洞。远程攻击者可通过特制网页利用该漏洞导致拒绝服务。
更新时间:
20190827
默认动作:
通过
事件名称:
TCP_Webmin_远程命令执行漏洞[CVE-2019-15107]
事件级别:
高级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用HTTP_Webmin_远程命令执行漏洞[CVE-2019-15107]攻击目的IP主机的行为。
更新时间:
20190827
默认动作:
丢弃
修改事件
事件名称: |
HTTP_木马_Win32.Ralminey_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Win32.Ralminey木马。 该恶意木马执行后,在%Temp%文件夹下释放svchost.exe文件,启动此程序,然后注入核心恶意代码,发送上线信息,并且释放dat文件,来删除源文件。 |
更新时间: |
20190827 |
默认动作: |
丢弃 |
事件名称: |
HTTP_WEB命令注入攻击 |
事件级别: |
中级事件 |
安全类型: |
注入攻击 |
事件描述: |
检测到源IP地址主机正在向目的IP地址主机进行命令注入攻击。 Web命令注入攻击就是WEB系统对用户输入的数据没有进行严格的过滤就使用,从而给黑客留下了可乘之机,攻击者可以在提交的数据中加入一些系统命令获得服务器的敏感信息或者数据。 |
更新时间: |
20190827 |
默认动作: |
丢弃 |