2018-06-29
发布时间 2018-06-29新增事件
|
事件名称: |
HTTP_后门_InvisiMole.Rc2cl_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了InvisiMole。InvisiMole是一个体系化的间谍软件,包含两个后门模块,RC2FM和RC2CL。运行后,可完全控制被植入机器。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
HTTP_Acunetix11_AWVS11_Content_Web漏洞扫描1 |
|
事件级别: |
低级事件 |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机正在利用Acunetix11(AWVS11)漏洞扫描工具对目的主机进行Web应用漏洞扫描的行为,尝试扫描发现Web应用系统漏洞,为进一步入侵目的IP主机做准备。Acunetix11(AWVS11)是一款商用的针对Web应用的安全漏洞扫描软件。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
HTTP_Acunetix11_AWVS11_Content_Web漏洞扫描2 |
|
事件级别: |
低级事件 |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机正在利用Acunetix11(AWVS11)漏洞扫描工具对目的主机进行Web应用漏洞扫描的行为,尝试扫描发现Web应用系统漏洞,为进一步入侵目的IP主机做准备。Acunetix11(AWVS11)是一款商用的针对Web应用的安全漏洞扫描软件。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
HTTP_AppScan9_Content_Web漏洞扫描 |
|
事件级别: |
低级事件 |
|
安全类型: |
安全扫描 |
|
事件描述: |
检测到源IP主机正在利用AppScan 9漏洞扫描工具对目的主机进行Web应用漏洞扫描的行为,尝试扫描发现Web应用系统漏洞,为进一步入侵目的IP主机做准备。AppScan 9是一款商用的针对Web应用的安全漏洞扫描软件。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
TCP_木马后门_Win32.SocketPlayer_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了SocketPlayer。SocketPlayer是一个后门,功能非常强大。运行后,可完全控制被植入机器。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
HTTP_Malware_NocturnalStealer_连接服务器 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到Nocturnal Stealer试图连接远程服务器。Nocturnal Stealer旨在窃取在多个基于Chromium和Firefox的浏览器中发现的数据。它还可以在FileZilla中窃取许多流行的加密货币钱包以及任何保存的FTP密码。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
HTTP_木马后门_MsraMiner_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到MsraMiner试图连接远程服务器。MsraMiner定时和C&C进行连接接受命令和更新模块,主要目的为挖掘门罗币。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
HTTP_phpMyAdmin_target参数_远程代码执行漏洞 |
|
事件级别: |
中级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用phpMyAdmin远程代码执行漏洞对目的主机进行攻击的行为。phpMyAdmin是用PHP编写的工具,用于通过Web管理MySQL。phpMyAdmin版本小于4.8.2存在phpMyAdmin远程代码执行漏洞,攻击者利用此漏洞窃取敏感信息,远程执行系统命令。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
修改事件
|
事件名称: |
HTTP_后门_Win32.Mirage_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Mirage。Win32.Mirage是一个功能很强大的后门,一般利用电子邮件传播。目前已经发现有APT攻击使用了该后门。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
HTTP_Struts2_S2-045/S2-046远程命令执行攻击[CVE-2017-5638] |
|
事件级别: |
高级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP地址主机正在向目的IP地址主机发起Struts2 S2-045/S2-046攻击。Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一款用于创建企业级Java Web应用的开源框架。Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10版本存在严重的漏洞,在使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞,攻击者可以在文件上传时通过构造HTTP请求头中的Content-Type值可能造成远程代码执行漏洞(S2-045);构造恶意OGNL使得上传文件的大小(由Content-Length头指定)大于Struts2允许的最大大小2GB(S2-046)。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
HTTP_Struts2_S2-046远程命令执行攻击[CVE-2017-5638] |
|
事件级别: |
高级事件 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP地址主机正在向目的IP地址主机发起Struts2 S2-046攻击。Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一款用于创建企业级Java Web应用的开源框架。Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10版本存在严重的漏洞,在使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞,构造恶意OGNL使得上传文件的大小(由Content-Length头指定)大于Struts2允许的最大大小2GB。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
TCP_后门_njRat变种_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了njRat变种。njRat是一个CSharp语言编写的后门,功能异常强大,可完全控制被感染机器。可以窃取敏感信息,如键盘记录、主流浏览器(Firefox、Google Chrome、Opera)保存的密码、焦点窗口标题等。目前已经出现很多njRat变种。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
|
|
|
|
事件名称: |
TCP_后门_Win32.Torchwood_连接 |
|
事件级别: |
中级事件 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门Torchwood。Torchwood是一个功能非常强大的后门,运行后可以完全控制被植入机器。主要通过CHM文件传播。 |
|
更新时间: |
20180629 |
|
默认动作: |
丢弃 |
京公网安备11010802024551号