2019-09-24
发布时间 2019-09-24新增事件
事件名称: |
HTTP_泛微OA9.0_远程代码执行漏洞 |
事件级别: |
高级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用HTTP_泛微OA9.0_远程代码执行漏洞攻击目的IP主机的行为。 |
更新时间: |
20190924 |
默认动作: |
丢弃 |
事件名称: |
TCP_MS_远程桌面Rdp无身份验证登陆_连接 |
事件级别: |
中级事件 |
安全类型: |
安全审计 |
事件描述: |
检测到源IP地址的在尝试以较低安全性或无密码形式连接目的IP主机的远程桌面。源IP主机可能存在恶意扫描或攻击行为。 |
更新时间: |
20190924 |
默认动作: |
通过 |
事件名称: |
HTTP_fastjson-1.2.60_远程代码执行 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
CMS攻击检测到源IP主机正在利用HTTP_fastjson-1.2.60_远程代码执行攻击目的IP主机的行为。 |
更新时间: |
20190924 |
默认动作: |
丢弃 |
事件名称: |
HTTP_fastjson-1.2.61_远程代码执行 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
CMS攻击检测到源IP主机正在利用HTTP_fastjson-1.2.61_远程代码执行攻击目的IP主机的行为。 |
更新时间: |
20190924 |
默认动作: |
丢弃 |
事件名称: |
HTTP_websphere_任意文件读取 |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
CMS攻击检测到源IP主机正在利用HTTP_websphere_任意文件读取攻击目的IP主机的行为。 |
更新时间: |
20190924 |
默认动作: |
丢弃 |
修改事件
事件名称: |
HTTP_Malware_yty.Downloader_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。yty.downloader是一个下载程序,负责检索包含附加功能的模块/插件。 yty是一种新的模块化恶意软件框架,主要关注文件收集,截图和键盘记录。 |
更新时间: |
20190924 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Gh0st.DHLAR_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门DHLAR。 Gh0st.DHLAR是利用一个根据Gh0st远控的源码修改而来的后门,运行后可以完全控制被植入机器。 |
更新时间: |
20190924 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_VBS.H.Worm.Rat_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。 H-worm是一个基于VBS语言的后门,功能非常强大。H-worm借鉴了njRAT的开源代码,服务端为使用VBS脚本编写的蠕虫病毒,适用于Windows全系操作系统并且使用了比较先进的User-Agent传递数据的方式,主要传播方式有三种:电子邮件附件、恶意链接和被感染的U盘传播,蠕虫式的传播机制会形成大量的感染。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性,一直被黑产所青睐而活跃至今。 |
更新时间: |
20190924 |
默认动作: |
丢弃 |
事件名称: |
TCP_后门_Win32.OceanLotus(海莲花)_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门OceanLotus。 OceanLotus是一个功能强大的后门,主要通过邮件传播。OceanLotus运行后,会尝试获取敏感信息,也可执行C&C返回指令,去下载其他后门。 |
更新时间: |
20190924 |
默认动作: |
丢弃 |
事件名称: |
HTTP_Joomla_远程代码执行漏洞[CVE-2015-8562] |
事件级别: |
中级事件 |
安全类型: |
安全漏洞 |
事件描述: |
检测到试图利用Joomla远程代码执行漏洞进行攻击的行为 Joomla!是一套在国外相当知名的内容管理系统。Joomla!是使用PHP语言加上MySQL数据库所开发的软件系统,可以在Linux、 Windows、MacOSX等各种不同的平台上执行。 Joomla!对于存储在数据库中的字符串没有进行相应的校验,攻击者可以将user-agent和x-forwarded-for的内容写入session中,之后将session内容写入数据库,并运用四字节字符截断,使得写入的session可以被成功反序列化。 |
更新时间: |
20190924 |
默认动作: |
丢弃 |
事件名称: |
HTTP_木马后门_webshell_china_chopper_20160620_php控制命令 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP主机正在使用中国菜刀china chopper 160620版本连接木马后门的行为。 中国菜刀china chopper是常用的一款webshell连接工具,黑客经常使用这款工具通过远程系统的木马后门控制远程系统。 |
更新时间: |
20190924 |
默认动作: |
丢弃 |