新增事件


事件名称:

TCP_Oracle_Coherence_远程代码执行漏洞[CVE-2020-2915]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Oracle Coherence远程代码执行漏洞(CVE-2020-2915),试图传入精心构造的恶意代码或命令来入侵目的IP主机。

漏洞存在的Coherence版本:

Oracle Coherence 3.7.1.0

Oracle Coherence 12.1.3.0.0

Oracle Coherence 12.2.1.3.0

Oracle Coherence 12.2.1.4.0

如果被攻击机器没有升级相应的补丁,则有可能被直接获得权限。

更新时间:

20200505














事件名称:

TCP_Oracle_WebLogic_远程代码执行漏洞[CVE-2020-2963]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Oracle WebLogic远程代码执行漏洞(CVE-2020-2963),试图传入精心构造的恶意代码或命令来入侵目的IP主机。

漏洞存在的weblogic版本:

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0

WebLogic Server 12.2.1.4.0

如果被攻击机器没有升级相应的补丁,则有可能被直接获得权限。

更新时间:

20200505














事件名称:

TCP_Oracle_WebLogic_远程代码执行漏洞[CVE-2020-2883]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Oracle WebLogic远程代码执行漏洞(CVE-2020-2883),试图传入精心构造的恶意代码或命令来入侵目的IP主机。

漏洞存在的weblogic版本:

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0

WebLogic Server 12.2.1.4.0

如果被攻击机器没有升级相应的补丁,则有可能被直接获得权限。

更新时间:

20200505














事件名称:

TCP_WebLogic_XXE_任意文件读取漏洞[CVE-2020-2949]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用WebLogic XXE任意文件读取漏洞对目的主机进行攻击的行为。

更新时间:

20200505








事件名称:

TCP_远程控制软件_向日葵_V9_建立控制连接

安全类型:

安全审计

事件描述:

检测到您的网络中有一台主机正在试图使用向日葵连接对端设备。

向日葵远程控制是一款面向企业和专业人员的远程PC管理和控制的服务软件。您在任何可连入互联网的地点,都可以轻松访问和控制安装了向日葵远程控制客户端的远程主机,整个过程完全可以通过浏览器进行,无需再安装软件。向日葵远程控制拥有五秒快速而又强劲的内网穿透功力,融合了微软RDP远程桌面(3389),用户可以轻松在向日葵远程桌面协议和微软RDP协议中自由切换,享受最佳的远程桌面体验。

更新时间:

20200505













事件名称:

木马后门

安全类型:

安全审计

事件描述:

检测到LeetHozer试图连接C&C服务器。源IP主机可能被植入了僵尸网络LeetHozer

LeetHozer是一个僵尸网络,主要是对指定目标发起DDoS攻击。通过9530端口漏洞以及Telnet 弱口令传播自身。

更新时间:

20200505











修改事件


事件名称:

TCP_RDP远程桌面登录_会话连接

安全类型:

安全审计

事件描述:

 这是一条基础事件,单独上报无意义。

更新时间:

20200505






事件名称:

HTTP_木马后门_webshell_china_chopper_aspx控制命令

安全类型:

木马后门

事件描述:

该事件表明源IP地址主机上的中国菜刀客户端正在向目的IP地址主机上的webshell服务器端发出控制命令。

webshellweb入侵的脚本攻击工具。简单说,webshell就是一个用aspphp等编写的木马后门,攻击者在入侵了一个网站后,常常将这些aspphp等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。

更新时间:

20200505