2019-09-29
发布时间 2019-09-29新增事件
事件名称: |
HTTP_后门_phpStudy攻击尝试_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到攻击者在向使用phpStudy的网站发送特定数据,以触发恶意后门功能。 著名的PHP调试环境程序集成包phpStudy软件被篡改植入了后门。攻击者替换了php_xmlrpc.dll实现后门代码的植入和驻留。攻击者向使用了被篡改的phpStudy的网站发送特定数据,即可触发后门执行。后门功能主要为收集用户信息、执行C&C端攻击者下发的远程PHP脚本。 |
更新时间: |
20190929 |
默认动作: |
通过 |
事件名称: |
DNS_后门_phpStudy_连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到后门phpStudy在向DNS服务器请求解析其C&C服务器。 著名的PHP调试环境程序集成包phpStudy软件被篡改植入了后门。攻击者替换了php_xmlrpc.dll实现后门代码的植入和驻留。后门功能主要为收集用户信息、执行C&C端攻击者下发的远程PHP脚本。 |
更新时间: |
20190929 |
默认动作: |
丢弃 |
修改事件
事件名称:
TCP_后门_Gh0st_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
该事件源IP所在的主机可能被植入了Gh0st远控程序,可以对远程主机进行任意操作。
特洛伊木马(Trojan)是后门程序的一种。典型的木马程序为服务器/客户端结构,一般情况下入侵者通过利用某种漏洞取得主机的控制权后,设法在被攻击的主机上运行木马程序的服务器端,之后就可以从远程利用客户端程序通过对主机上的服务器端程序进行访问而完全控制该主机,在管理员毫无所知的情况下执行任意程序、访问任意文件等各种非法操作。因此木马程序是一种危害极大的恶意程序,如果发现主机上存在木马程序,则主机肯定已经遭到了入侵,需要尽快采取措施。
更新时间:
20190929
默认动作:
丢弃
事件名称:
TCP_后门_DDoS.Win32.Nitol_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。
DDoS.Win32.Nitol是近来最活跃的恶意DDoS攻击家族之一。
DDoS.Win32.Nitol连接远程服务器,接收黑客指令,向目标域或网站发起DDoS攻击。还可以下载其他病毒到被感染机器。
更新时间:
20190929
默认动作:
丢弃
事件名称:
TCP_后门_Linux.BillGates_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门BillGates。
BillGates是Linux平台下的一个僵尸网络,主要功能是针对指定目标进行DDoS攻击。
更新时间:
20190929
默认动作:
丢弃
事件名称:
TCP_后门_Win32.KilerRat_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门KilerRat。
KilerRat是一个功能非常强大的后门,CSharp语言编写。运行后,可以完全控制被植入机器。
更新时间:
20190929
默认动作:
丢弃
事件名称:
TCP_后门_Linux.XOR.DDoS_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Linux.XoR.DDoS。
Linux.XoR.DDoS是一个僵尸网络,主要功能是对指定目标主机发起DDoS攻击。
更新时间:
20190929
默认动作:
丢弃
事件名称:
TCP_后门_Win32.Remcos_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Remcos。
Remcos是一个功能强大的远控,运行后可完全控制被植入机器。
更新时间:
20190929
默认动作:
丢弃
事件名称:
TCP_木马后门_Win32/Linux_ircBot_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到ircBot试图连接远程服务器。源IP所在的主机可能被植入了ircBot。
ircBot是基于irc协议的僵尸网络,主要功能是对指定目标主机发起DDoS攻击。还可以下载其他病毒到被植入机器。
更新时间:
20190929
默认动作:
丢弃
事件名称:
TCP_后门_njRat变种_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了njRat变种。
njRat是一个CSharp语言编写的后门,功能异常强大,可完全控制被感染机器。
可以窃取敏感信息,如键盘记录、主流浏览器(Firefox、Google Chrome、Opera)保存的密码、焦点窗口标题等。目前已经出现很多njRat变种。
更新时间:
20190929
默认动作:
丢弃
事件名称:
HTTP_木马后门_reGeorg-v1.0_后门连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到源IP主机正在连接目的主机上的reGeorg-v1.0木马后门文件,向内网主机发送特定连接指令。
reGeorg-v1.0木马是黑客常用的一种内网渗透流量转发木马,攻击者通过上传该木马文件到Web服务器,然后在本地通过特定攻击脚本连接服务端的木马文件进行内网流量转发。攻击者企图通过这种方式绕过内网防护设备以Web服务器为跳板攻击其他内网主机,试图获取内网其他服务器的控制权。攻击者确认服务器上存在该木马文件之后,会通过使用reGeorgSocksProxy.py、Proxifier等工具设置连接,向内网主机发送特定攻击指令。
更新时间:
20190929
默认动作:
丢弃