2020-09-29
发布时间 2020-09-30新增事件
事件名称: | TCP_僵尸网络_Linux.AESDDOS(Dofloo)_连接C2 |
安全类型: | 木马后门 |
事件描述: | Dofloo(AESDDoS)僵尸网络从被感染系统窃取信息,包括操作系统版本,CPU型号、速度和内存等信息上传到C2服务器,并根据返回的命令进行AES解密,执行Cmdshell或者发起各种类型的DDoS攻击,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CC Flood。 |
更新时间: | 20200929 |
事件名称: | HTTP_安全扫描_goby扫描器 |
安全类型: | 安全扫描 |
事件描述: | Goby 是一款新的网络安全测试工具,由赵武 Zwell(Pangolin、JSky、FOFA 作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。我们希望能够输出更具生命力的工具,能够对标黑客的实际能力,帮助企业来有效地理解和应对网络攻击。 |
更新时间: | 20200929 |
事件名称: | HTTP_安全扫描_扫描器AWVS |
安全类型: | 网络通讯 |
事件描述: | 流量中检测到扫描器AWVS扫描流量。 |
更新时间: | 20200929 |
事件名称: | HTTP_安全漏洞_Thinkphp5_SQL注入漏洞 |
安全类型: | 安全漏洞 |
事件描述: | ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。ThinkPHP 框架被曝出存在SQL注入漏洞。 |
更新时间: | 20200929 |
事件名称: | HTTP_安全漏洞_phpmyadmin反序列化漏洞任意文件读取 |
安全类型: | 安全漏洞 |
事件描述: | phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。 |
更新时间: | 20200929 |
事件名称: | TCP_可疑行为_Docker_Exec_下载恶意文件 |
安全类型: | 安全漏洞 |
事件描述: | 发现针对运行状态的容器利用Docker EXEC执行下载命令,下载的文件可能为恶意程序,该命令允许外壳程序访问暴露主机中所有适用的运行中的容器,存在被黑客利用的风险。 |
更新时间: | 20200929 |
修改事件
事件名称: | HTTP_Joomla_远程代码执行漏洞[CVE-2015-8562] |
安全类型: | 安全漏洞 |
事件描述: | 检测到试图利用Joomla远程代码执行漏洞进行攻击的行为。 |
更新时间: | 20200929 |
事件名称: | HTTP_Firefox_v54.0.1拒绝服务漏洞 |
安全类型: | 木马后门 |
事件描述: | 检测到源IP主机正在利用Firefox 54.0.1版本中的拒绝服务漏洞进行攻击的行为。 |
更新时间: | 20200929 |
事件名称: | HTTP_类菜刀流量_响应 |
安全类型: | 木马后门 |
事件描述: | 中国菜刀是中国黑客圈内使用非常广泛的一款Webshell管理工具。中国菜刀用途十分广泛,支持多种语言,小巧实用,具有文件管理(有足够的权限时候可以管理整个磁盘/文件系统),数据库管理,虚拟终端等功能。对于这类管理工具,如果没有大量的修改服务端脚本代码,其返回流量都会有一些常见的特征,本条规则将常见的共同特征提取出来进行防御性报警。由于此事件为较为宽泛的通用特征,可能存在误报,请参考特征性质判断字段进行判断。 |
更新时间: | 20200929 |
事件名称: | HTTP_木马后门_webshell_PHP_eval一句话webshell |
安全类型: | 木马后门 |
事件描述: | 检测到源IP主机正向目的主机上传或连接PHP eval一句话webshell木马。 |
更新时间: | 20200929 |
京公网安备11010802024551号