新增事件


事件名称:

HTTP_代码执行_Liferay_Portal_远程代码执行[CVE-2020-7961]

安全类型:

安全漏洞

事件描述:

Liferay是一个开源的Portal(认证)产品,提供对多个独立系统的内容集成,为企业信息、流程等的整合提供了一套完整的解决方案,和其他商业产品相比,Liferay有着很多优良的特性,而且免费,在全球都有较多用户。在Liferay6.1.x-7.2.x版本中存在通过未授权访问的api构造json语句导致反序列化漏洞进而执行攻击者代码命令的漏洞。

更新时间:

20200707











事件名称:

HTTP_F5_BIG_IP_远程代码执行漏洞[CVE-2020-5902]

安全类型:

安全漏洞

事件描述:

F5 BIG-IP是美国F5公司的一款集成网络流量管理,应用程序安全管理,负载均衡等功能的应用交付平台。

更新时间:

20200707








事件名称:

DNS_后门_Worm.Morto_连接

安全类型:

蠕虫病毒

事件描述:

检测到蠕虫Morto试图连接远程服务器。源IP所在的主机可能被植入了Morto

Morto是一种蠕虫,利用RDP即远程桌面协议来传播。Morto里内嵌了常见弱口令,利用弱口令登录远程桌面成功,即把自身传播过去。截止到目前,在国内仍然非常活跃。

Morto通过DNS协议与其C&C通信,可以执行C&C发送来的各种命令,如下载、DDoS攻击等。

更新时间:

20200707












事件名称:

HTTP_安全漏洞_Apache_Shiro_身份验证绕过漏洞[CVE-2020-11989]

安全类型:

安全漏洞

事件描述:

Apache Shiro是一个强大且易用的Java安全框架,它可以用来执行身份验证、授权、密码和会话管理。目前常见集成于各种应用中进行身份验证,授权等。对于Apache Shiro 1.5.3之前的版本,当将Apache ShiroSpring控制器一起使用时,攻击者特制请求可能会导致身份验证绕过。

更新时间:

20200707










事件名称:

HTTP_通达OA_前台任意用户登录漏洞

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在使用HTTP_通达OA_前台任意用户登录漏洞对目的IP主机进行攻击的行为。该漏洞可造成前台无需密码登录管理员账号,攻击者利用漏洞进入后台后可配合文件上传漏洞获取服务器控制权,危害严重。

更新时间:

20200707










修改事件


事件名称:

HTTP_类菜刀流量_响应

安全类型:

木马后门

事件描述:

中国菜刀是中国黑客圈内使用非常广泛的一款Webshell管理工具。中国菜刀用途十分广泛,支持多种语言,小巧实用,具有文件管理(有足够的权限时候可以管理整个磁盘/文件系统),数据库管理,虚拟终端等功能。对于这类管理工具,如果没有大量的修改服务端脚本代码,其返回流量都会有一些常见的特征,本条规则将常见的共同特征提取出来进行防御性报警。由于此事件为较为宽泛的通用特征,可能存在误报,请参考特征性质判断字段进行判断。

更新时间:

20200707












事件名称:

HTTP_认证请求

安全类型:

安全审计

事件描述:

该事件表明有用户正在向HTTP服务器发送基本认证请求。

HTTP基本认证不同于SSLSSL提供对敏感数据加密传输的机制,而HTTP基本认证提供了对受保护资源的访问控制策略。

HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份认证的方法。当一个客户端向HTTP服务器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。

客户端在接收到HTTP服务器的身份认证要求后,会提示用户输入用户名及密码,客户端将用户名和密码用“:”合并,并将合并后的字符串用BASE64加密为密文,并于每次请求数据时,将密文附加于请求头(Request Header)中。HTTP服务器在每次收到请求包后,根据协议取得客户端附加的用户信息(BASE64加密的用户名和密码),解开请求包,对用户名及密码进行验证,如果用户名及密码正确,则根据客户端请求,返回客户端所需要的数据;否则,返回错误代码或重新要求客户端提供用户名及密码。

HTTP基本认证的目标是提供简单的用户验证功能,其认证过程简单明了,适合于对安全性要求不高的系统或设备中。

更新时间:

20200707






















事件名称:

TCP_SSH尝试登录

安全类型:

木马后门

事件描述:

检测到源IP地址主机正在向目的IP地址主机进行SSH登录口令猜解的行为。

SSH Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台包括HP-UXLinuxAIXSolarisDigital UNIXIrix,以及其他平台,都可运行SSH

攻击者经常会使用一些暴力破解工具加上密码字典的方式来破解服务器的SSH登录用户及口令。

口令穷举探测类事件定义为:在源IP地址与目的IP地址相同的情况下,统计单位时间内登录失败的次数,默认为一分钟内登录失败的次数超过20次,就会触发口令穷举事件,该事件的默认动作是阻断源地址。需特别说明的是,若IPSWAF设备串行部署在启用NAT(Network Address Translation,网络地址转换)的网络环境中,多个真实的源IP可能被转换成一个源IP,极端情况下,多个用户的正常登陆失败尝试也可能会触发口令穷举探测事件,此时可以考虑将该事件的默认响应动作修改为通过,以免影响正常业务。

更新时间:

20200707























事件名称:

HTTP_后门_Bitter.Rat(蔓灵花)_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Bitter

更新时间:

20200707







事件名称:

HTTP_通用_目录穿越漏洞
[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在尝试对目的IP主机进行目录穿越漏洞攻击尝试的行为。目录穿越漏洞能使攻击者绕过Web服务器的访问限制,对web根目录以外的文件夹,任意地读取甚至写入文件数据。

更新时间:

20200707