2019-10-22
发布时间 2019-10-22新增事件
事件名称: |
HTTP_木马后门_webshell_Jscript上传后门程序 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到源IP地址主机正在向目的IP地址主机传送可疑的webshell文件。 webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
更新时间: |
20191022 |
默认动作: |
丢会话 |
事件名称: |
HTTP_后门_Win32.SaefkoAgentRAT _连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。 SaefkoAgent 是一个远控程序,使用C#语言编写,运行后可以完全控制被感染机器,包括上传窃密信息,屏幕截图,下载文件执行等功能。 |
更新时间: |
20191022 |
默认动作: |
丢会话 |
事件名称: |
TCP_mysql_authbypass |
事件级别: |
中级事件 |
安全类型: |
网络数据库攻击 |
事件描述: |
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。而且漏洞利用工具已经出现。 |
更新时间: |
20191022 |
默认动作: |
丢会话 |
事件名称: |
HTTP_Tunna隧道连接 |
事件级别: |
中级事件 |
安全类型: |
木马后门 |
事件描述: |
Tunna:一款神奇的工具,它可以通过HTTP封装隧道通信任何TCP,以及用于绕过防火墙环境中的网络限制。 |
更新时间: |
20191022 |
默认动作: |
丢会话 |
修改事件
事件名称:
UDP_Microsoft_Windows_DNS解析远程代码执行漏洞[MS11-030][CVE-2011-0657]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机试图通过MS11-030漏洞攻击目的IP主机。一旦攻击成功,攻击者可以用NetworkService运行任意代码。
Microsoft Windows在实现上存在DNS解析远程代码执行漏洞。
DNS客户端服务处理特制的LLMNR请求时存在一个远程代码执行漏洞,成功利用此漏洞的攻击者可以用NetworkService运行任意代码。攻击者可以安装程序;查看、更改或删除数据;或以完全用户权限创建新账户。
更新时间:
20191022
默认动作:
丢会话
删除事件
1、HTTP_fastjson-blacklist1
2、HTTP_fastjson-blacklist2