2020-11-24
发布时间 2020-11-24新增事件
事件名称: | HTTP_木马后门_Linux.Ngioweb_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到Ngioweb试图连接远程服务器,请求第二阶段的C&C。源IP所在的主机可能被植入了Ngioweb。Ngioweb是一个Linux系统下的Proxy Botnet,主要功能是在受害者机器上提供反向连接。共支持4个命令:WAIT、CONNECT、DISCONNECT、CERT。目前已经观察到有大量部署WordPress的Web服务器被植入Linux.Ngioweb。在受害者机器上提供反向连接。 |
更新时间: | 20201124 |
事件名称: | HTTP_Hadoop_YARN_ResourceManager未授权访问漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用hadoop YARN ResourceManager存在的未授权访问漏洞进行攻击的行为 |
更新时间: | 20201124 |
事件名称: | HTTP_木马后门_XDDown(XDSpy)_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到组件XDDown试图连接服务器,源IP所在的主机可能被植入了XDSpy组织利用的后门,主要攻击东欧和塞尔维亚的政府组织并从中窃取敏感文件。XDSpy APT 组织从2011年开始活跃,但直到近日才被发现,XDSpy APT组织的攻击目标主要位于东欧和塞尔维亚,受害者主要是军事、外交相关的政府机构以及少量的私营企业。 |
更新时间: | 20201124 |
事件名称: | HTTP_木马后门_D_Regsvr32(KimsukyAPT)_木马连接 |
安全类型: | 木马后门 |
事件描述: | Kimsuky 组织是总部位于朝鲜的 APT 组织,又称 “Black Banshee”、“BabyShark” 等,至少从 2013 年开始活跃,该组织长期针对韩国政府、新闻等机构进行攻击活动,经常使用带有漏洞的 hwp 文件、恶意宏文件以及释放载荷的 PE 文件等恶意载荷。 |
更新时间: | 20201124 |
事件名称: | HTTP_apache_solr_xxe漏洞(攻击成功)[CVE-2018-1308][CNNVD-201804-415] |
安全类型: | 注入攻击 |
事件描述: | 检测到源IP利用Apache solr正在利用xxe漏洞进行文件读取操作,Apache Solr是一个开源的搜索服务,使用Java语言开发,主要基于HTTP和Apache Lucene实现的。 |
更新时间: | 20201124 |
事件名称: | HTTP_安全漏洞_Discuz!X系列转换工具任意代码写入漏洞 |
安全类型: | 安全漏洞 |
事件描述: | Discuz!X系列转换工具任意代码写入漏洞是攻击者对注释部分利用换行符导致注入恶意PHP代码,攻击成功后可以获得目标主机的 Webshell ,进一步获得网站的控制权。 |
更新时间: | 20201124 |
修改事件
事件名称: | HTTP_WebLogic_任意文件上传漏洞[CVE-2019-2618] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用任意文件上传漏洞攻击目的IP主机的行为,CVE-2019-2618漏洞主要是利用了WebLogic组件中的DeploymentService接口,该接口支持向服务器上传任意文件。攻击者突破了OAM(Oracle Access Management)认证,设置wl_request_type参数为app_upload,构造文件上传格式的POST请求包,上传"font-family:宋体">木马文件,进而可以获得整个服务器的权限。 |
更新时间: | 20201124 |
事件名称: | HTTP_Weblogic_任意文件读取漏洞[CVE-2019-2615] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Weblogic任意文件读取漏洞对目的主机进行攻击的行为。Weblogic_任意文件读取漏洞接口是文件下载相关功能使用的接口,也是weblogic server中内部使用的正常功能,所以该漏洞需要weblogic的用户名密码,登录后可窃取敏感信息,获取管理员权限。 |
更新时间: | 20201124 |
事件名称: | TCP_JavaRMI反序列化_远程命令执行漏洞[CVE-2017-3241] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP利用TCP_JavaRMI反序列化远程命令执行漏洞进行攻击的行为,JavaRMI反序列化远程命令执行漏洞进行攻击的行为允许远程攻击者执行任意命令。 |
更新时间: | 20201124 |
事件名称: | HTTP_fastjson_JSON反序列化_远程代码执行漏洞[CVE-2017-18349] |
安全类型: | 安全漏洞 |
事件描述: | Fastjson是一个Java库,可以将Java对象转换为JSON格式,fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞。攻击者通过发送一个精心构造的JSON序列化恶意代码,当程序执行JSON反序列化的过程中执行恶意代码,从而导致远程代码执行。 |
更新时间: | 20201124 |
事件名称: | DNS_木马_NetReaper_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到失陷主机上的木马试图连接远程服务器(C&C)。源IP所在的主机可能被植入了NetReaper木马。 |
更新时间: | 20201124 |