2019-09-17
发布时间 2019-09-17新增事件
事件名称:
TCP_后门_MSIL.BlackRat_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了BlackRat。
BlackRat是一个基于CSharp的远控后门,运行后,可以完全控制被植入机器。
更新时间:
20190917
默认动作:
丢弃
事件名称:
HTTP_木马后门_webshell_管理工具_asp控制命令
事件级别:
中级事件
安全类型:
木马后门
事件描述:
该事件表明源IP地址主机上的webshell管理工具客户端正在向目的IP地址主机上的webshell服务器端发出控制命令。
webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。
更新时间:
20190917
默认动作:
通过
事件名称:
ICMP_hans隧道_连接
事件级别:
中级事件
安全类型:
可疑行为
事件描述:
hans icmp隧道连接。
更新时间:
20190917
默认动作:
丢弃
修改事件
事件名称:
HTTP_后门_Bitter.Rat(蔓灵花)_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Bitter。
Bitter是一个功能非常强大的后门,运行后,可以完全控制被植入机器。
更新时间:
20190917
默认动作:
丢弃