每周升级公告-2022-01-04
发布时间 2022-01-04新增事件
事件名称: | HTTP_ntopng_权限绕过漏洞[攻击尝试][CVE-2021-28073] |
安全类型: | 安全漏洞 |
事件描述: | ntopng是一款基于Web的流量分析与集流工具。ntopng存在权限绕过漏洞,其CVE号为CVE-2021-28073。攻击者可构造恶意请求,绕过相关认证,配合相关功能造成任意代码执行,控制服务器。 |
更新时间: | 20220104 |
事件名称: | HTTP_安全漏洞_PbootCMS_v2.0.7_前台文件包含漏洞 |
安全类型: | 安全漏洞 |
事件描述: | PbootCMS是一款开源免费的PHP企业网站开发建设管理系统。pbootcms2.07版本中前台控制器TagController中的index方法存在文件包含漏洞,攻击者可以利用此漏洞获取目标主机权限。 |
更新时间: | 20220104 |
事件名称: | HTTP_安全漏洞_PbootCMS_v2.0.7_任意文件读取 |
安全类型: | 安全漏洞 |
事件描述: | PbootCMS是一款开源免费的PHP企业网站开发建设管理系统。pbootcms2.07版本中前台list参数存在任意文件读取漏洞,攻击者可以利用此漏洞获取目标主机权限。 |
更新时间: | 20220104 |
事件名称: | HTTP_安全漏洞_DedeCMSV6.0.3_catalog_edit.php_远程代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | DedeCMSV6系统基于PHP7.X开发,具有很强的可扩展性,并且完全开放源代码。其后台catalog_edit.php文件存在远程代码执行漏洞,攻击者可利用此漏洞拿到目标主机权限。 |
更新时间: | 20220104 |
事件名称: | HTTP_安全漏洞_DedeCMSV6.0.3_freelist_edit.php_远程代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | DedeCMSV6系统基于PHP7.X开发,具有很强的可扩展性,并且完全开放源代码。其后台freelist_edit.php文件存在远程代码执行漏洞,攻击者可利用此漏洞拿到目标主机权限。 |
更新时间: | 20220104 |
事件名称: | TCP_审计事件_JAVA_LDAP请求调用 |
安全类型: | 安全审计 |
事件描述: | 检测到源IP主机对目的主机进行LDAP请求。LDAP是一个轻量级目录访问协议。若源IP主机存在JAVA反序列化漏洞,攻击者可利用JNDI来调用LDAP,可能存在远程访问恶意对象的风险。 |
更新时间: | 20220104 |
事件名称: | TCP_审计事件_JAVA_RMI请求调用 |
安全类型: | 安全审计 |
事件描述: | 检测到源IP主机对目的主机进行RMI请求。RMI即远程方法调用(RemoteMethodInvocation),一种用于实现远程过程调用的JavaAPI。若源IP主机存在JAVA反序列化漏洞,攻击者可利用JNDI来调用RMI,可能存在远程访问恶意对象的风险。 |
更新时间: | 20220104 |
事件名称: | HTTP_可疑行为_远程访问Java_class文件 |
安全类型: | 可疑行为 |
事件描述: | 此事件检测JAVA远程访问class文件的行为。在java漏洞中,存在大量反序列化和命令执行漏洞会使用到远程调用协议去访问恶意类的手法,来实现任意命令执行,危害较大。 |
更新时间: | 20220104 |
事件名称: | TCP_可疑行为_JAVA_调用RMI远程下载class |
安全类型: | 安全漏洞 |
事件描述: | 此事件检测JAVA调用RMI远程下载class的行为。RMI即远程方法调用,一种用于实现远程过程调用的javaAPI.在java漏洞中,存在大量反序列化和命令执行漏洞会使用到RMI远程访问恶意类的手法,来实现任意命令执行,危害较大。 |
更新时间: | 20220104 |
事件名称: | HTTP_木马后门_Pupy_连接C2服务器 |
安全类型: | 木马后门 |
事件描述: | 检测到由黑客工具Pupy生成的http远控后门试图连接远程服务器,源IP所在的主机可能被植入了Pupy远控后门。执行后,攻击者可完全控制被植入机器,并进行横向移动。Pupy是一个python编写的跨平台、多功能远控后门和后渗透工具。它具有all-in-memory执行功能,占用空间非常小。Pupy可以使用多种方式进行通信,使用反射注入迁移到进程中,并从内存加载远程python代码、python包和pythonC-extensions。 |
更新时间: | 20220104 |
事件名称: | UDP_木马后门_Pupy_连接C2服务器 |
安全类型: | 木马后门 |
事件描述: | 检测到由黑客工具Pupy生成的http远控后门试图连接远程服务器,源IP所在的主机可能被植入了Pupy远控后门。执行后,攻击者可完全控制被植入机器,并进行横向移动。Pupy是一个python编写的跨平台、多功能远控后门和后渗透工具。它具有all-in-memory执行功能,占用空间非常小。Pupy可以使用多种方式进行通信,使用反射注入迁移到进程中,并从内存加载远程python代码、python包和pythonC-extensions。 |
更新时间: | 20220104 |
修改事件
事件名称: | HTTP_通用_目录穿越漏洞[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在尝试对目的IP主机进行目录穿越漏洞攻击尝试的行为。目录穿越漏洞能使攻击者绕过Web服务器的访问限制,对web根目录以外的文件夹,任意地读取甚至写入文件数据。此规则是一条通用规则,其他漏洞(甚至一些0day漏洞)攻击的payload也有可能触发此事件报警。由于正常业务中一般不会产生此事件特征的流量,所以需要重点关注。允许远程攻击者访问敏感文件。 |
更新时间: | 20220104 |
事件名称: | HTTP_爬虫Bot访问 |
安全类型: | 安全审计 |
事件描述: | 检测到爬虫Bot对目的IP主机的web访问,可能在对目的IP主机进行页面爬取。 |
更新时间: | 20220104 |