新增事件


事件名称:

HTTP_Apache-Tomcat_远程代码执行漏洞[CVE-2020-9484]

安全类型:

安全漏洞

事件描述:

CMS攻击检测到源IP主机正在利用HTTP_JACKSON-databind_远程代码执行[CVE-2020-9548]攻击目的IP主机的行为。

更新时间:

20200526








事件名称:

TCP_Microsoft_RDP爆破_DuBrute

安全类型:

穷举探测

事件描述:

检测到源IP主机使用DuBrute爆破工具对目的IP主机的3389端口进行RDP爆破的行为。

更新时间:

20200526








事件名称:

TCP_Microsoft_RDP爆破_Ncrack

安全类型:

网络通讯

事件描述:

检测到源IP主机使用Ncrack爆破工具对目的IP主机的3389端口进行RDP爆破的行为。

更新时间:

20200526








事件名称:

TCP_Microsoft_RDP爆破_NlBrute

安全类型:

网络通讯

事件描述:

检测到源IP主机使用DlBrute爆破工具对目的IP主机的3389端口进行RDP爆破的行为。

更新时间:

20200526








事件名称:

TCP_Microsoft_RDP爆破_Winxp_疑似Hydra

安全类型:

网络通讯

事件描述:

检测到源IP主机疑似使用Hydra爆破工具对目的IP主机的3389端口进行RDP爆破的行为。

更新时间:

20200526









修改事件


事件名称:

TCP_木马_CoinMiner_尝试连接矿池

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Coinminer木马。

CoinMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。

更新时间:

20200526









事件名称:

TCP_Oracle_Coherence_远程代码执行漏洞[CVE-2020-2915]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Oracle Coherence远程代码执行漏洞(CVE-2020-2915),试图传入精心构造的恶意代码或命令来入侵目的IP主机。

漏洞存在的Coherence版本:

Oracle Coherence 3.7.1.0

Oracle Coherence 12.1.3.0.0

Oracle Coherence 12.2.1.3.0

Oracle Coherence 12.2.1.4.0

如果被攻击机器没有升级相应的补丁,则有可能被直接获得权限。

更新时间:

20200526














事件名称:

TCP_木马_CoinMiner_连接矿池成功

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CoinMiner木马。

CoinMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。

更新时间:

20200526









事件名称:

UDP_僵尸网络_Mozi.P2PBotnet_连接

安全类型:

木马后门

事件描述:

检测到僵尸网络Mozi试图和Peer节点通信。因为是基于P2P协议,源IP可能是客户IP,目的IP也可能是客户IP。且源IP和目的IP所在主机都被植入了僵尸网络Mozi

Mozi是一个基于P2P协议的僵尸网络,主要支持的功能为:DDoS攻击、收集Bot信息、执行指定URLpayload、从指定的URL更新样本、执行系统或自定义命令。

更新时间:

20200526











事件名称:

HTTP_Confluence_Unauthenticated_远程命令执行漏洞[CVE-2019-3396]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_Confluence_未授权_远程命令执行漏洞攻击目的IP主机的行为。

更新时间:

20200526









删除事件


1. SMTP_BACnet_OPC客户端栈缓冲区溢出漏洞[SCADA][CVE-2010-4740]