本周事件库
新增事件
HTTP_英特尔AMT功能远程提权漏洞
事件级别:
级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用英特尔AMT功能远程提权漏洞进行攻击的行为。 英特尔的芯片嵌入了Intel Active Management Technology(AMT)技术,这项技术能让IT管理人员远程管理和修复PC、工作站和服务器。 Intel管理固件版本6.x,7.x,8.x 9.x,10 .x,11.0,11.5和11.6存在提权漏洞,可以使无特权攻击者获取这些产品的高级管理功能权限。远程攻击者可以利用漏洞控制存在该漏洞的PC、笔记本电脑和服务器。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_Wordpress_ArtPictureShop插件_文件上传漏洞
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP地址主机正在利用WordPress文件上传漏洞对目的主机进行攻击的行为。 该事件表明wordpress存在文件上传漏洞。攻击者可以上传webshell和木马等,造成深层次影响。 Wordpress是一种使用PHP语言开发的博客平台。用户量很大。
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_Serviio_MediaStreamingServer_RESTAPI密码任意改变漏洞
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP地址主机正在利用Serviio Media Streaming Server REST API Arbitrary Password Change漏洞对目的主机进行攻击的行为。 Serviio 是DLNA 流媒体 (音乐文件、 视频或图像) 的有用和媒体服务器。 由于REST API访问的配置不当,导致Serviio存在未经身份验证的密码修改漏洞。远程攻击者可以通过特制的请求,更改受保护的mediabrowser页面的登录密码。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_CrypttechCryptoLog_远程代码执行漏洞
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP地址主机正在利用Crypttech CryptoLog远程代码执行漏洞对目的主机进行攻击的行为。 CryptoLog是一个日志管理器,用于收集,归一化和分类网络中生成的大规模日志,并将其转换为直观的界面上的有价值的信息。 logshares_ajax.php文件负责执行操作系统命令。一个用户参数被用于执行操作系统命令时使用,这会导致命令注入问题。该漏洞使我们有机会在Web用户的上下文中执行操作系统命令。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_Microsoft_Edge内存损坏漏洞[CVE-2017-0221]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到试图通过Microsoft Edge内存损坏漏洞进行攻击的行为。 Microsoft Edge是美国微软(Microsoft)公司开发的一款Web浏览器,是Windows 10操作系统附带的默认浏览器。 Microsoft Edge中存在远程代码执行漏洞。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码,造成内存损坏。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_Microsoft_Edge内存损坏漏洞[CVE-2017-0227]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到试图通过Microsoft Edge内存损坏漏洞进行攻击的行为。 Microsoft Edge是美国微软(Microsoft)公司开发的一款Web浏览器,是Windows 10操作系统附带的默认浏览器。 Microsoft Edge中存在远程代码执行漏洞。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码,造成内存损坏。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_Microsoft_Internet_Explorer和Edge脚本引擎内存损坏漏洞[CVE-2017-0228]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到试图通过Microsoft Internet Explorer和Edge脚本引擎内存损坏漏洞进行攻击的行为 Microsoft Edge和Internet Explorer(IE)都是美国微软(Microsoft)公司开发的Web浏览器。前者是最新操作系统Windows 10附带的默认浏览器,后者是Windows 10之前操作系统附带的默认浏览器。 Microsoft Edge和IE中存在远程代码执行漏洞。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码,造成内存损坏。
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_Microsoft_Edge脚本引擎内存损坏漏洞[CVE-2017-0236]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到试图通过Microsoft Edge脚本引擎内存损坏漏洞进行攻击的行为。 Microsoft Edge是美国微软(Microsoft)公司开发的一款Web浏览器,是Windows 10操作系统附带的默认浏览器。 Microsoft Edge中存在远程代码执行漏洞。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码,造成内存损坏。
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_Microsoft_Edge内存损坏漏洞[CVE-2017-0240]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到试图通过Microsoft Edge内存损坏漏洞进行攻击的行为。 Microsoft Edge是美国微软(Microsoft)公司开发的一款Web浏览器,是Windows 10操作系统附带的默认浏览器。 Microsoft Edge中存在远程代码执行漏洞。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码,造成内存损坏。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_Microsoft_Edge脚本引擎内存损坏漏洞[CVE-2017-0234]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到试图通过Microsoft Edge脚本引擎内存损坏漏洞进行攻击的行为。 Microsoft Edge是美国微软(Microsoft)公司开发的一款Web浏览器,是Windows 10操作系统附带的默认浏览器。 Microsoft Edge中存在远程代码执行漏洞。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码,造成内存损坏。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_Microsoft_Edge远程代码执行漏洞[CVE-2017-0266]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到试图通过Microsoft Edge远程代码执行漏洞进行攻击的行为。 Microsoft Edge是美国微软(Microsoft)公司开发的一款Web浏览器,是Windows 10操作系统附带的默认浏览器。 Microsoft Edge中存在远程代码执行漏洞。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码,造成内存损坏。
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_SSI_include指令注入漏洞
事件级别:
中级事件
安全类型:
CGI攻击
事件描述:
检测到源IP主机正在利用服务器端包含指令注入漏洞攻击的行为。攻击者在服务器配置不当的情况下,向服务器发送SSI攻击指令获取网站敏感数据。 SSI是指服务器在将页面响应内容发送给浏览器之前,根据页面中的指令,对页面进行处理的过程。当服务器配置不当时,攻击者可在页面注入SSI攻击指令在服务端执行。该事件用来防护SSI include指令注入。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_SSI_echo指令注入漏洞
事件级别:
中级事件
安全类型:
CGI攻击
事件描述:
检测到源IP主机正在利用服务器端包含指令注入漏洞攻击的行为。攻击者在服务器配置不当的情况下,向服务器发送SSI攻击指令获取网站敏感数据。 SSI 是指服务器在将页面响应内容发送给浏览器之前,根据页面中的指令,对页面进行处理的过程。当服务器配置不当时,攻击者可在页面注入 SSI 攻击指令在服务端执行。该事件用来防护SSI echo指令注入。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_SSI_exec指令注入漏洞
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用服务器端包含指令注入漏洞攻击的行为。攻击者在服务器配置不当的情况下,向服务器发送SSI攻击指令获取网站敏感数据。 SSI是指服务器在将页面响应内容发送给浏览器之前,根据页面中的指令,对页面进行处理的过程。当服务器配置不当时,攻击者可在页面注入 SSI 攻击指令在服务端执行。该事件用来防护SSI exec指令注入。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_SSI_config指令注入漏洞
事件级别:
中级事件
安全类型:
CGI攻击
事件描述:
检测到源IP主机正在利用服务器端包含指令注入漏洞攻击的行为。攻击者在服务器配置不当的情况下,向服务器发送SSI攻击指令获取网站敏感数据。 SSI是指服务器在将页面响应内容发送给浏览器之前,根据页面中的指令,对页面进行处理的过程。当服务器配置不当时,攻击者可在页面注入 SSI 攻击指令在服务端执行。该事件用来防护SSI config指令注入。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_SSI_fsize指令注入漏洞
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用服务器端包含指令注入漏洞攻击的行为。攻击者在服务器配置不当的情况下,向服务器发送SSI攻击指令获取网站敏感数据。 SSI是指服务器在将页面响应内容发送给浏览器之前,根据页面中的指令,对页面进行处理的过程。当服务器配置不当时,攻击者可在页面注入 SSI 攻击指令在服务端执行。该事件用来防护SSI fsize指令注入。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
DNS_后门_Win32.UnKwing_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到后门UnKwing试图连接远程服务器。源IP所在的主机可能被植入了UnKwing。 UnKwing是一个功能强大的后门,通过DNS协议与其C&C通信。 
更新时间:
20170519
默认动作
丢弃
 
 
事件名称:
HTTP_Microsoft_Internet_Explorer和Edge脚本引擎内存损坏漏洞[CVE-2017-0238]
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到试图通过Microsoft Internet Explorer和Edge脚本引擎内存损坏漏洞进行攻击的行为 Microsoft Edge和Internet Explorer(IE)都是美国微软(Microsoft)公司开发的Web浏览器。前者是最新操作系统Windows 10附带的默认浏览器,后者是Windows 10之前操作系统附带的默认浏览器。 Microsoft Edge和IE中存在远程代码执行漏洞。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码,造成内存损坏。 
更新时间:
20170519
默认动作
丢弃
修改事件
事件名称:
HTTP_蠕虫病毒_永恒之蓝_请求连接服务器
事件级别:
级事件
安全类型:
蠕虫病毒
事件描述:
检测到wanacry蠕虫病毒连接服务器的行为 WannaCry,一种电脑软件勒索病毒,它使用了ETERNALBLUE(MS17-010)漏洞中的某些版本的SMB服务器协议进行传播,被感染机器 内大部分的文件将会被加密,只有支付一定数量的比特币后才会被解密(支付了赎金也不一定能解密),感染了该蠕虫后会通过TCP 445端口进行传播。串行类防护产品一定不能拦截该域名的访问,勒索病毒启动后会访问该域名(此域名即为隐藏开关),访问通了就会自行退出,如果无法访问 会立即执行加密,并且继续攻击其他主机。 
更新时间:
20170519
默认动作
丢弃
 
历史事件库更新

  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号