每周升级公告-2022-07-19
发布时间 2022-07-19新增事件
事件名称: | TCP_后门_Win32.Avzhan.DDoS.Bot_连接_1 |
安全类型: | 其他事件 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Avzhan。Avzhan是一个后门,主要功能是对指定目的主机发起DDoS攻击。还可以下载其他病毒到被植入机器。对指定目的主机发起DDoS攻击。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_Apache_OFBiz_rmi反序列化漏洞[CVE-2021-26295][CNNVD-202103-1262] |
安全类型: | 安全漏洞 |
事件描述: | ApacheOFBiz存在RMI反序列化前台命令执行,未经身份验证攻击者可构造恶意请求,触发反序列化,从而造成任意代码执行,控制服务器。 |
更新时间: | 20220719 |
事件名称: | HTTP_可疑行为_探测php远程命令执行 |
安全类型: | 可疑行为 |
事件描述: | 检测到主机正在向目的IP发送探测php远程命令执行的请求。此攻击多为漏洞扫描器产生。 |
更新时间: | 20220719 |
事件名称: | HTTP_安全漏洞_Apache-Airflow_远程代码执行[CVE-2022-24288][CNNVD-202202-1940] |
安全类型: | 安全漏洞 |
事件描述: | 在ApacheAirflow2.2.4之前的版本中,一些示例DAG没有正确清理用户提供的参数,使其容易受到来自WebUI的OS命令注入的影响。 |
更新时间: | 20220719 |
事件名称: | TCP_提权攻击_Spring-messaging_代码执行[CVE-2018-1270] |
安全类型: | 安全漏洞 |
事件描述: | 检测到试图通过利用Spring框架Spring-messaging模块远程代码执行漏洞进行攻击的行为,攻击者可以利用该漏洞执行任意代码。Spring框架是一个开源的项目,是一个基于IOC和AOP的构架多层JavaEE系统的框架。Spring框架通过spring-messageing模块和STOMP代理对象通讯,spring-message模块中的DefaultSubscriptionRegistry类方法addSubscriptionInternal存在远程代码执行漏洞,攻击者利用该漏洞可以执行任意Java代码。尝试远程执行任意代码。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_天融信TopApp-LB负载均衡命令执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 天融信负载均衡TopAPP-LB产品旧版本在管理面存在命令执行漏洞,具体为在可以访问管理登录页面情况下,攻击者通过构造恶意请求,利用系统的代码缺陷,可拼接相关字段造成命令执行。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_SpamTitan网关后台代码执行漏洞[CVE-2020-11699][CNNVD-202009-1082] |
安全类型: | 安全漏洞 |
事件描述: | SpamTitan网关是功能强大的反垃圾邮件设备,它为网络管理员提供了广泛的工具来控制邮件流并防止有害的电子邮件和恶意软件。由于存在代码缺陷,攻击者可通过构造恶意payload,使得目标主机执行恶意命令。 |
更新时间: | 20220719 |
事件名称: | HTTP_设置缺陷_Zyxel-NBG2015身份验证绕过[CVE-2021-3297][CNNVD-202101-2231] |
安全类型: | 安全漏洞 |
事件描述: | ZyxelNBG2105存在身份验证绕过漏洞,属于逻辑/设置错误,攻击者无需登录,可以直接访问login_ok.htm页面,绕过登录页面。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_gitlist-0.6.0_命令执行 |
安全类型: | 安全漏洞 |
事件描述: | gitlist是一款使用PHP开发的图形化git仓库查看工具。在其0.6.0版本中,存在一处命令参数注入问题,可以导致远程命令执行漏洞。 |
更新时间: | 20220719 |
事件名称: | HTTP_文件操作攻击_GoAhead_c语言_文件上传[CVE-2021-42342][CNNVD-202110-1020] |
安全类型: | 安全漏洞 |
事件描述: | GoAhead是世界上最受欢迎的微型嵌入式Web服务器。它结构紧凑、安全且易于使用。GoAhead部署在数亿台设备中,是最小嵌入式设备的理想选择。近日爆出GoAhead存在RCE漏洞,漏洞源于文件上传过滤器处理的不全,当与CGI处理程序一起使用时,可影响环境变量,从而实现RCE |
更新时间: | 20220719 |
事件名称: | HTTP_文件操作攻击_猎鹰安全-金山终端安全系统_upload.php_任意文件上传 |
安全类型: | 安全漏洞 |
事件描述: | 当前主机正在遭受金山终端安全系统upload.php任意文件上传漏洞攻击,无任何过滤的文件上传可导致黑客上传恶意文件控制主机。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_Webmin-show.cgi_命令执行[CVE-2012-2982][CNNVD-201209-215] |
安全类型: | 安全漏洞 |
事件描述: | Webmin是Unix系统管理Web接口,通过任一浏览器都可设置用户账户、Apache、DNS、DNS、文件共享及其他。Webmin1.590及更早版本的file/show.cgi内存在安全漏洞,可允许通过身份验证的远程用户通过路径名内的无效字符执行任意命令。 |
更新时间: | 20220719 |
事件名称: | HTTP_安全漏洞_Maccms8.x_命令执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | Maccms8.x及以前版本搜索页面搜索参数过滤不严,攻击者可构造payload,直接eval执行PHP语句,以获取主机权限。 |
更新时间: | 20220719 |
事件名称: | HTTP_注入攻击_Django_SQL注入[CVE-2022-34265][CNNVD-202207-347] |
安全类型: | 注入攻击 |
事件描述: | Django是一个基于Python的开源Web应用框架。Django存在一个SQL注入漏洞(CVE-2022-34265)。在受影响的Django版本(3.2.14、4.0.6之前的版本)中,可以通过传递恶意数据作为kind/lookup_name的值,如果应用程序在将这些参数传递给Trunc()和Extract()数据库函数(日期函数)之前没有经过输入过滤或转义,则容易受到SQL注入攻击。通过利用此漏洞,第三方可以向数据库发送命令以访问未经授权的数据或删除数据库等恶意行为。 |
更新时间: | 20220719 |
事件名称: | HTTP_木马后门_PhpSpy-Mysql数据库管理_Webshell访问 |
安全类型: | 木马后门 |
事件描述: | 流量中检测到phpspy管理mysql数据库的操作,可能Webshell已被植入正在进行连接行为。webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
更新时间: | 20220719 |
事件名称: | TCP_木马后门_AlmondRat(蔓灵花)_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到AlmondRat试图连接远程服务器。源IP所在的主机可能被植入了AlmondRat。AlmondRat是蔓灵花组织所使用了一个轻量化后门,基于CSharp语言,运行后,可以完全控制被植入机器。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_Advantech-iView-NetworkServlet_命令执行[CVE-2022-2143][CNNVD-202206-2735] |
安全类型: | 安全漏洞 |
事件描述: | AdvantechiView5_7_04_6469版本前存在命令执行漏洞,攻击者可以在未登录的情况下利用命令拼接写入webshell,获取目标系统权限 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_Netsys硬件设备_命令执行 |
安全类型: | 安全漏洞 |
事件描述: | Netsys是一套上网行为管理系统。由于其系统存在漏洞,攻击者可构造恶意payload,执行恶意命令以获取主机权限。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_Ruby_conversions.rb_Ruby代码执行[CVE-2013-0156] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在向目的主机上的Ruby构造恶意的XML外部实体注入代码进行攻击;RubyonRails是一个可以使开发、部署、维护web应用程序变得简单的框架。 |
更新时间: | 20220719 |
事件名称: | HTTP_信息泄露_J2EE-WEB-INF配置文件_敏感信息泄露 |
安全类型: | CGI攻击 |
事件描述: | /WEB-INF/web.xml:Web应用程序配置文件,描述了servlet和其他的应用组件配置及命名规则。/WEB-INF/classes/:包含所有的Servlet类和其他类文件,类文件所在的目录结构与他们的包名称匹配。/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件/WEB-INF/src/:源码目录,按照包名结构放置各个java文件。/WEB-INF/database.properties:数据库配置文件。 |
更新时间: | 20220719 |
事件名称: | HTTP_信息泄露_Redis_info敏感信息回显_回显成功 |
安全类型: | CGI攻击 |
事件描述: | 检测到源IP设备使用redis的info命令探测当前目的主机上的Redis是否存在未授权访问漏洞;攻击者在未授权访问Redis的情况下,利用Redis自身的提供的config命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的/root/.ssh文件夹的authotrized_keys文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器。 |
更新时间: | 20220719 |
事件名称: | TCP_提权攻击_JMX-RMI_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | JMX(JavaManagementExtensions,即Java管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。在JMX端口对外开放时,攻击者可以通过Mlet加载一个远程服务器上的恶意MBean,从而执行恶意代码获取目标主机的权限。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_Spring_Cloud_Netflix_SSRF服务端请求伪造 |
安全类型: | 注入攻击 |
事件描述: | 检测到源ip正在利用Spring_Cloud_Netflix的origin参数将请求发送到不应公开公开的其他服务器。SpringCloudNetflix通过自动配置和绑定到SpringEnvironment和其他Spring编程模型习惯用法,为SpringBoot应用程序提供NetflixOSS集成。 |
更新时间: | 20220719 |
事件名称: | TCP_提取攻击_Flask内存马注入_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到目前目的主机上的Flask服务在开放了添加路由功能的情况下,受到注入代码执行攻击。Flask是一个使用Python编写的轻量级Web应用框架。其WSGI工具箱采用Werkzeug,模板引擎则使用Jinja2。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_Bitsadmin_远程命令执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在向目的IP主机发送Bitsadmin可疑命令,尝试控制目的IP主机创建上传或者下载任务。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_IBOS-4.5.4_命令执行 |
安全类型: | 安全漏洞 |
事件描述: | IBOS低于4.5.5的版本存在后台命令执行漏洞,攻击者在登录后可以通过数据库备份功能执行任意系统命令,控制系统权限 |
更新时间: | 20220719 |
事件名称: | HTTP_文件操作攻击_IBOS_后台数据库_文件上传 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在向IBOS的文件上传漏洞,上传任意文件。 |
更新时间: | 20220719 |
事件名称: | HTTP_信息泄露_Weblogic-Server_敏感信息泄露[CVE-2022-21371] |
安全类型: | CGI攻击 |
事件描述: | OracleWebLogicServer是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。OracleWebLogicServer存在路径遍历漏洞,该漏洞源于WebContainer组件中不正确的输入验证。攻击者可利用该漏洞访问敏感信息。 |
更新时间: | 20220719 |
事件名称: | HTTP_文件操作攻击_海康威视HIKVISION流媒体管理服务器_文件读取[CNVD-2021-14544] |
安全类型: | 安全漏洞 |
事件描述: | 海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商。其流媒体管理服务器存在弱口令漏洞和任意文件读取漏洞,攻击者可利用该漏洞获取任意文件信息。 |
更新时间: | 20220719 |
修改事件
事件名称: | HTTP_文件操作攻击_可疑敏感文件下载 |
安全类型: | 安全漏洞 |
事件描述: | 发现敏感文件下载行为,如下载备份文件,程序源码,SQL文件,配置文件等这类行为。 |
更新时间: | 20220719 |
事件名称: | TCP_可疑行为_Java_Shellcode本地进程注入 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用WindowsVirtualMachine类中的enqueue方法对目的主机进行Java本地进程注入攻击的行为。攻击者可以发送精心构造的payload,使用恶意类进行进程注入执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_Alibaba_Nacos_未授权访问[CVE-2021-29441] |
安全类型: | 安全漏洞 |
事件描述: | AlibabaNacos存在一个由于不当处理导致的未授权访问漏洞。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。 |
更新时间: | 20220719 |
事件名称: | HTTP_木马_MuuyDownLoader(蔓灵花)_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了MuuyDownLoader。MuuyDownLoader是APT组织蔓灵花所使用的一个下载者,运行后,可以下载其它恶意样本,如后门等。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_fastjson_1.2.68_反序列化_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用fastjsonJSON反序列化远程代码执行漏洞对目的主机进行攻击的行为,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。fastjson在1.2.68以及之前版本存在远程代码执行高危安全漏洞。开发者在使用fastjson时,如果编写不当,可能导致JSON反序列化远程代码执行漏洞。攻击者通过发送一个精心构造的JSON序列化恶意代码,当程序执行JSON反序列化的过程中执行恶意代码,从而导致远程代码执行。尝试进行恶意命令或代码注入,远程执行任意代码。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_SangforEDR_v3.2.21以下_远程命令执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | Sangfor终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案。此产品存在远程命令执行漏洞,未经过身份验证的攻击者通过发送特制请求包,可以造成远程执行命令的后果。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_Spring-Data-Commons组件_远程代码执行[CVE-2018-1273] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用HTTP_Spring_Data_Commons组件远程代码执行漏洞攻击目的IP主机的行为。攻击者可构造包含有恶意代码的SPEL表达式实现远程代码攻击,直接获取服务器控制权限。SpringData是一个用于简化数据库访问,并支持云服务的开源框架,包含Commons、Gemfire、JPA、JDBC、MongoDB等模块。此漏洞产生于SpringDataCommons组件,该组件为提供共享的基础框架,适合各个子项目使用,支持跨数据库持久化。攻击成功,可远程执行任意代码。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_Weblogic_wls-wsat_远程代码执行漏洞[CVE-2017-3506/10271] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP地址主机正在向目的IP地址主机发起Weblogicwls-wsat远程代码执行漏洞攻击的行为。OracleWeblogicServer是应用程序服务器。OracleWeblogicServer10.3.6.0、12.2.1.2、12.2.1.1、12.1.3.0版本存在该漏洞。WeblogicWLS组件允许远程攻击者执行任意命令。攻击者向Weblogic服务器发送精心构造的HTTP恶意请求,攻击成功可以获取到服务器的Webshell,进一步可以获得目标服务器的控制权。尝试利用Weblogicwls-wsat远程代码执行漏洞攻击。 |
更新时间: | 20220719 |
事件名称: | HTTP_提权攻击_Apache_Solr_远程代码执行漏洞[CVE-2019-17558][CNNVD-201912-1225] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用ApacheSolrVelocityResponseWriter远程代码执行漏洞对目的主机进行攻击的行为。ApacheSolr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。ApacheSolr5.0.0版本至8.3.1版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。攻击者向网站发送精心构造的攻击payload,攻击成功可以远程执行任意命令,进而控制服务器。尝试进行任意文件读取,窃取敏感信息。 |
更新时间: | 20220719 |
京公网安备11010802024551号