每周升级公告-2022-03-22
发布时间 2022-03-22新增事件
事件名称: | TCP_木马_jhProtominer(Protominer)_尝试连接矿池(PTS) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了jhProtMiner木马。jhProtMiner是挖取Protoshares(PTS,比特股)的高性能挖矿程序,它使用不同的算法,以牺牲挖掘速度为代价,允许每个线程任意使用内存。挖矿程序会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。 |
更新时间: | 20220322 |
事件名称: | HTTPS_木马_可疑矿池主域名解析请求8 |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到可疑挖矿木马试图连接域名服务器解析矿池地址。源IP所在的主机可能被植入了挖矿木马。挖矿木马尝试连接矿池,运行后使受害主机变慢,消耗CPU资源。如果为用户正常访问矿池主页,则忽略该事件。 |
更新时间: | 20220322 |
事件名称: | HTTP_WordPress_WooCommerce插件_任意文件上传漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正试图通过利用WordPressWooCommerce插件任意文件上传漏洞攻击目的IP主机。WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。WooCommerce是一个的开源电子商务解决方案。 |
更新时间: | 20220322 |
事件名称: | HTTP_WordPress_blaze_manage_任意文件上传漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正试图通过利用WordPress的blaze_manage页面进行任意文件上传漏洞攻击目的IP主机。WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。 |
更新时间: | 20220322 |
事件名称: | HTTP_安全漏洞_beescms_认证绕过 |
安全类型: | 安全漏洞 |
事件描述: | BEESCMSV4.0_R_20160525版本在参数传递时使用了不安全的方式,使用数组键值作为变量值。当变量中有同名的元素时,该函数默认将原有的值给覆盖掉,造成了变量覆盖漏洞。导致攻击者可以通过此漏洞绕过登录认证,使用管理员身份登录后台。 |
更新时间: | 20220322 |
事件名称: | HTTP_PHP168-cache-adminlogin_logs.php_任意代码执行 |
安全类型: | 安全漏洞 |
事件描述: | PHP168整站是PHP领域当前功能最强大的建站系统,代码全部开源,可极其方便的进行二次开发,所有功能模块可以自由安装与删除,个人用户完全免费使用。它凭借着自身的强大、稳定、安全、灵活、易用等多方面的优势,其版本存在任意代码执行,可能危害到系统安全。 |
更新时间: | 20220322 |
事件名称: | HTTP_安全漏洞_Apache-Solr_任意文件读取漏洞[CVE-2020-13941][CNNVD-202008-850] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Apache-Solr8.6.0版本中的任意文件读取漏洞,窃取敏感信息。ApacheSolr是一个开源的搜索服务,使用Java语言开发。 |
更新时间: | 20220322 |
事件名称: | TCP_安全漏洞_Jackson_Databind_可疑反序列化类_dbcp[CVE-2020-35491/CVE-2020-36179/CVE-2020-36181/CVE-2020-36183/CVE-2020-36186] |
安全类型: | 安全漏洞 |
事件描述: | Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为java对象的框架。攻击者可能利用jackson的可疑反序列化类org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource或org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource攻击目的IP主机。 |
更新时间: | 20220322 |
事件名称: | HTTP_代码执行_SpringSecurityOauth_代码注入漏洞[CVE-2016-4977][CNNVD-201705-1270] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用Spring的错误页面构造恶意参数从而导致SpEL代码执行。SpringSecurityOAuth是为Spring框架提供安全认证支持的一个模块。 |
更新时间: | 20220322 |
事件名称: | TCP_木马_CGMiner_尝试连接矿池(BTC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CGMiner木马。CGMiner是一个用于比特币的多线程多矿池FPGA和ASIC矿工。挖矿程序会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。 |
更新时间: | 20220322 |
事件名称: | HTTP_安全漏洞_Kibana_远程文件包含漏洞利用[CVE-2018-17246][CNNVD-201811-285] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用Kibana的远程文件包含漏洞上传文件至服务器任意位置,从而执行任意代码。Kibana是一个开源的分析与可视化平台,设计出来用于和Elasticsearch一起使用的,可以用kibana搜索、查看存放在Elasticsearch中的数据。 |
更新时间: | 20220322 |
修改事件
事件名称: | TCP_SpringOAuth2_SPEL_远程代码执行漏洞[CVE-2018-1260][CNNVD-201805-402] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正试图利用Spring框架OAuth2模块远程代码执行漏洞攻击目的IP主机。攻击者可以向授权服务器发起授权请求,当转发至授权审批终端(ApprovalEndpoint)时,会导致远程代码执行漏洞的攻击。漏洞存在的版本:SpringSecurityOAuth2.3-2.3.2、2.2-2.2.1、2.1-2.1.1、2.0-2.0.14及早期不支持版本攻击成功,可远程执行任意代码。 |
更新时间: | 20220322 |
事件名称: | HTTP_JACKSON_Shiro_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用JACKSON-Shiro远程代码执行漏洞对目的IP主机进行攻击的行为,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。 |
更新时间: | 20220322 |
事件名称: | HTTP_Nexus_Repository_Manager_3远程代码执行漏洞[CVE-2020-10204][CNNVD-202004-036] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP利用NexusRepositoryManager3通过admin权限构造恶意json执行代码。NexusRepositoryManager3是一个Java服务器应用程序。 |
更新时间: | 20220322 |
事件名称: | HTTP_安全漏洞_mini_httpd_任意文件读取漏洞[CVE-2018-18778][CNNVD-201810-1382] |
安全类型: | 安全漏洞 |
事件描述: | Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。ACMEmini_httpd<1.30版本存在一个任意文件读取漏洞,该漏洞源于在mini_httpd开启虚拟主机模式的情况下,用户请求http://HOST/FILE将会访问到当前目录下的HOST/FILE文件,而当HOST为空、FILE=etc/passwd的时候,上述语句结果为/etc/passwd。可作为绝对路径,读取到了/etc/passwd,造成任意文件读取漏洞。 |
更新时间: | 20220322 |
事件名称: | TCP_后门_DDoS.MrBlack_连接 |
安全类型: | 其他事件 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马MrBlack。MrBlack是一个跨平台的僵尸网络,支持Windows、Linux。主要功能是对指定目的主机发起DDoS攻击。还可以下载其他病毒到被植入机器。对指定目的主机发起DDoS攻击。 |
更新时间: | 20220322 |
事件名称: | HTTP_安全漏洞_ElasticSearch_命令执行漏洞[CVE-2014-3120] |
安全类型: | 安全漏洞 |
事件描述: | 检测到试图通过利用ElasticSearch远程命令执行漏洞进行攻击的行为,攻击者可以利用该漏洞执行任意命令。ElasticSearch是一个基于Lucene的搜索服务器,基于Java开发。ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,攻击者利用该漏洞可以在ElasticSearch服务器中执行任意Java代码或命令。 |
更新时间: | 20220322 |
事件名称: | TCP_僵尸网络_Linux.AESDDOS(Dofloo)_连接C2 |
安全类型: | 其他事件 |
事件描述: | Dofloo(AESDDoS)僵尸网络从被感染系统窃取信息,包括操作系统版本,CPU型号、速度和内存等信息上传到C2服务器,并根据返回的命令进行AES解密,执行Cmdshell或者发起各种类型的DDoS攻击,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CCFlood。执行Cmdshell命令或者发起DDOS攻击。 |
更新时间: | 20220322 |
事件名称: | TCP_安全漏洞_Spring-Data-REST-PATCH请求_远程执行代码[CVE-2017-8046][CNNVD-201704-1106] |
安全类型: | 安全漏洞 |
事件描述: | 该漏洞为攻击者通过SpringDataRest支持的PATCH方法,构造恶意的Json格式数据发送到服务端,导致服务端在解析数据时会执行任意Java代码、解析SpEL表达式,从而实现远程任意代码执行。 |
更新时间: | 20220322 |