2020-05-05
发布时间 2020-05-06新增事件
事件名称: |
TCP_Oracle_Coherence_远程代码执行漏洞[CVE-2020-2915] |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Oracle Coherence远程代码执行漏洞(CVE-2020-2915),试图传入精心构造的恶意代码或命令来入侵目的IP主机。 漏洞存在的Coherence版本: Oracle Coherence 3.7.1.0, Oracle Coherence 12.1.3.0.0, Oracle Coherence 12.2.1.3.0, Oracle Coherence 12.2.1.4.0。 如果被攻击机器没有升级相应的补丁,则有可能被直接获得权限。 |
更新时间: |
20200505 |
事件名称: |
TCP_Oracle_WebLogic_远程代码执行漏洞[CVE-2020-2963] |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Oracle WebLogic远程代码执行漏洞(CVE-2020-2963),试图传入精心构造的恶意代码或命令来入侵目的IP主机。 漏洞存在的weblogic版本: WebLogic Server 10.3.6.0.0, WebLogic Server 12.1.3.0.0, WebLogic Server 12.2.1.3.0, WebLogic Server 12.2.1.4.0。 如果被攻击机器没有升级相应的补丁,则有可能被直接获得权限。 |
更新时间: |
20200505 |
事件名称: |
TCP_Oracle_WebLogic_远程代码执行漏洞[CVE-2020-2883] |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用Oracle WebLogic远程代码执行漏洞(CVE-2020-2883),试图传入精心构造的恶意代码或命令来入侵目的IP主机。 漏洞存在的weblogic版本: WebLogic Server 10.3.6.0.0, WebLogic Server 12.1.3.0.0, WebLogic Server 12.2.1.3.0, WebLogic Server 12.2.1.4.0。 如果被攻击机器没有升级相应的补丁,则有可能被直接获得权限。 |
更新时间: |
20200505 |
事件名称: |
TCP_WebLogic_XXE_任意文件读取漏洞[CVE-2020-2949] |
安全类型: |
安全漏洞 |
事件描述: |
检测到源IP主机正在利用WebLogic XXE任意文件读取漏洞对目的主机进行攻击的行为。 |
更新时间: |
20200505 |
事件名称: |
TCP_远程控制软件_向日葵_V9_建立控制连接 |
安全类型: |
安全审计 |
事件描述: |
检测到您的网络中有一台主机正在试图使用向日葵连接对端设备。 向日葵远程控制是一款面向企业和专业人员的远程PC管理和控制的服务软件。您在任何可连入互联网的地点,都可以轻松访问和控制安装了向日葵远程控制客户端的远程主机,整个过程完全可以通过浏览器进行,无需再安装软件。向日葵远程控制拥有五秒快速而又强劲的内网穿透功力,融合了微软RDP远程桌面(3389),用户可以轻松在向日葵远程桌面协议和微软RDP协议中自由切换,享受最佳的远程桌面体验。 |
更新时间: |
20200505 |
事件名称: |
木马后门 |
安全类型: |
安全审计 |
事件描述: |
检测到LeetHozer试图连接C&C服务器。源IP主机可能被植入了僵尸网络LeetHozer。 LeetHozer是一个僵尸网络,主要是对指定目标发起DDoS攻击。通过9530端口漏洞以及Telnet 弱口令传播自身。 |
更新时间: |
20200505 |
修改事件
事件名称:
TCP_RDP远程桌面登录_会话连接
安全类型:
安全审计
事件描述:
这是一条基础事件,单独上报无意义。
更新时间:
20200505
事件名称:
HTTP_木马后门_webshell_china_chopper_aspx控制命令
安全类型:
木马后门
事件描述:
该事件表明源IP地址主机上的中国菜刀客户端正在向目的IP地址主机上的webshell服务器端发出控制命令。
webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。
更新时间:
20200505