2019-09-03
发布时间 2019-09-02新增事件
事件名称: |
HTTP_Jenkins_Ansible_Tower插件信息泄露漏洞[CVE-2019-10310] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用HTTP_Jenkins_Ansible_Tower插件信息泄露漏洞[CVE-2019-10310]攻击目的IP主机的行为。 |
更新时间: |
20190903 |
默认动作: |
丢弃 |
事件名称: |
HTTP_中国蚁剑_AntSword_webshell_木马连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
该事件表明源IP地址主机上的中国蚁剑客户端正在向目的IP地址主机上的webshell服务器端发出连接命令。 webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
更新时间: |
20190903 |
默认动作: |
丢弃 |
事件名称:
HTTP_SCADA_PcVue_Activex_Control不安全方法调用代码执行漏洞
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用PcVue Activex控件不安全方法调用代码执行漏洞对目的主机进行攻击的行为。
PcVue ActiveX控件中存在多个不安全方法调用漏洞。远程攻击者可利用该漏洞执行任意代码。
更新时间:
20190903
默认动作:
通过
事件名称:
HTTP_SCADA_PcVue_Activex_Control不安全方法调用漏洞(SaveObject)
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用PcVue Activex控件不安全方法调用代码执行漏洞对目的主机进行攻击的行为。
PcVue
ActiveX控件中存在多个不安全方法调用漏洞。远程攻击者可利用该漏洞执行任意代码。
更新时间:
20190903
默认动作:
通过
事件名称:
HTTP_SCADA_PcVue_Activex_Control不安全方法调用漏洞(GetExtendedColor)
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用PcVue Activex控件不安全方法调用代码执行漏洞对目的主机进行攻击的行为。
PcVue
ActiveX控件中存在多个不安全方法调用漏洞。远程攻击者可利用该漏洞执行任意代码。
更新时间:
20190903
默认动作:
通过
事件名称:
HTTP_后门_Win32.Neutrino_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门Neutrino。
Neutrino是一个僵尸网络,功能非常强大,运行后可完全控制被植入机器。
更新时间:
20190903
默认动作:
丢弃
事件名称:
HTTP_僵尸网络_MiraiXMiner_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到僵尸网络MiraiXMiner试图连接远程服务器。源IP所在的主机可能被植入了MiraiXMiner。
MiraiXMiner是一个仍然活跃着的僵尸网络,融合了多种已知病毒家族,包括Mirai、MyKings、远控、挖矿等。利用永恒之蓝漏洞、闭路电视物联网设备漏洞、MSSQL漏洞、RDP爆破和Telnet爆破等方式传播自身。
更新时间:
20190903
默认动作:
丢弃
事件名称:
HTTP_Malware_BADNEWS(Patchwork)_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了BADNEWS。
BADNEWS恶意软件家族充当后门,通过HTTP进行通信。
向攻击者提供了许多命令,其中包括下载和执行附加信息,上传感兴趣的文档以及截取桌面的截图。
更新时间:
20190903
默认动作:
丢弃
事件名称:
HHTTP_木马_ArtraDownloader(蔓灵花)_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Downloader.Wills。
Downloader.Wills是一个下载者,运行后,可以下载其它恶意样本,如后门等。
更新时间:
20190903
默认动作:
丢弃
事件名称:
TCP_后门_Virut.IrcBot_可疑变种_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Virut。
Virut是一个基于irc协议的僵尸网络,运行后允许攻击者完全控制被植入机器。还可以下载其他病毒到被植入机器。
更新时间:
20190903
默认动作:
丢弃
事件名称:
HTTP_IBM_WebSphere_Java反序列化_远程代码执行漏洞[CVE-2015-7450]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用IBM WebSphere Java反序列化远程代码执行漏洞对目的主机进行攻击的行为。
WebSphere 是IBM公司开发的中间件基础设施平台。WebSphere 7 版本在开发中使用了 Apache Commons
Collections 库中的 InvokerTransformer 类,该类存在 Java 反序列化漏洞。攻击者可以发送精心构造的 Java 序列化对象,远程执行任意代码或命令。
更新时间:
20190903
默认动作:
丢弃
事件名称:
TCP_WebLogic远程代码执行漏洞[CVE-2018-3191]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机试图利用WebLogic远程代码执行漏洞攻击目的IP主机的行为。
更新时间:
20190903
默认动作:
丢弃
修改事件