2018-10-19

发布时间 2018-10-19

新增事件

事件名称:

TCP_后门_Win32.Remcos_连接1

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Remcos Remcos是一个功能强大的远控,运行后可完全控制被植入机器。

更新时间:

20181019

默认动作:

丢弃


事件名称:

HTTP_Joomla_Raffle_Factory_3.5.2_SQL注入漏洞[CVE-2018-17379]

事件级别:

中级事件

安全类型:

CGI攻击 

事件描述:

检测到源IP主机正在利用Joomla Raffle Factory 3.5.2漏洞对目的主机进行SQL注入的攻击行为。 Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。CW Tags是使用在其中的一个标签系统组件。 Raffle Factory 3.5.2版本中存在SQL注入漏洞。远程攻击者可借助‘filter order Dir’数组参数利用该漏洞查看、添加、更改或删除后端数据库中的信息。

更新时间:

20181019

默认动作:

丢弃


事件名称:

HTTP_Joomla_Component_Article_Factory_Manager_4.3.9_SQL注入漏洞[CVE-2018 -17380]

事件级别:

中级事件

安全类型:

CGI攻击 

事件描述:

检测到源IP主机正在利用Joomla Component Article Factory Manager 4.3.9漏洞对目的主机进行SQL注入的攻击行为。 Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。CW Tags是使用在其中的一个标签系统组件。 Component Article Factory Manager 4.3.9版本中存在SQL注入漏洞。远程攻击者可借助‘filter search’数组参数利用该漏洞查看、添加、更改或删除后端数据库中的信息。

更新时间:

20181019

默认动作:

丢弃


事件名称:

HTTP_Joomla_Component_Jobs_Factory_2.0.4_SQL注入漏洞[CVE-2018 -17382]

事件级别:

中级事件

安全类型:

CGI攻击

事件描述:

检测到源IP主机正在利用Joomla_Component_Jobs_Factory_2.0.4漏洞对目的主机进行SQL注入的攻击行为。 Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。CW Tags是使用在其中的一个标签系统组件。 Component Jobs Factory 2.0.4版本中存在SQL注入漏洞。远程攻击者可借助‘filter_order’数组参数利用该漏洞查看、添加、更改或删除后端数据库中的信息。

更新时间:

20181019

默认动作:

丢弃


事件名称:

HTTP_Joomla_Component_Collection_Factory_4.1.9_SQL注入漏洞[CVE-2018 -17383]

事件级别:

中级事件

安全类型:

CGI攻击

事件描述:

检测到源IP主机正在利用Joomla Component Collection Factory 4.1.9漏洞对目的主机进行SQL注入的攻击行为。 Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。CW Tags是使用在其中的一个标签系统组件。 Component Collection Factory 4.1.9版本中存在SQL注入漏洞。远程攻击者可借助‘filter_order’数组参数利用该漏洞查看、添加、更改或删除后端数据库中的信息。

更新时间:

20181019

默认动作:

丢弃


事件名称:

HTTP_Bacula-Web_job.php_GET_request_SQL注入漏洞

事件级别:

中级事件

安全类型:

CGI攻击

事件描述:

检测到源IP主机正在利用Bacula-Web job.php GET request SQL注入漏洞攻击目的IP主机的行为。 Bacula-Web是一套基于Web的用于报告和监控Bacula(备份App)的应用程序。 Bacula-Web 8.0.0-rc2之前版本中存在SQL注入漏洞。远程攻击者可利用该漏洞访问Bacula数据库,提升权限。

更新时间:

20181019

默认动作:

丢弃


事件名称:

TCP_Weblogic反序列化漏洞[CVE-2018-3245]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Weblogic反序列化漏洞攻击目的IP主机的行为

更新时间:

20181019

默认动作:

丢弃


修改事件

事件名称:

HTTP_GNU_Bash远程任意代码实行[CVE-2014-6271/7169]

事件级别:

高级事件

安全类型:

安全漏洞 

事件描述:

GNU BashBourne again shell)是一个为GNU计划编写的Unix shell,广泛使用在Linux系统内,最初的功能仅是一个简单的基于终端的命令说明器。 GNU Bash 4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以实行shell命令。 远程任意代码实行是一种远程控制攻击方法,通过远程代码实行,攻击者能够控制被攻击者的主机。

更新时间:

20181019

默认动作:

丢弃


事件名称:

TCP_后门_Win32.Remcos_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Remcos Remcos是一个功能强大的远控,运行后可完全控制被植入机器。

更新时间:

20181019

默认动作:

丢弃


事件名称:

TCP_后门_Linux.DDoS.Gafgyt_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DDoS.Gafgyt DDoS.Gafgyt是一个Linux僵尸网络,主要功能是对指定目标机器发起DDoS攻击。

更新时间:

20181019

默认动作:

丢弃


事件名称:

TCP_后门_Win32.Torchwood_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门Torchwood Torchwood是一个功能非常强大的后门,运行后可以完全控制被植入机器。主要通过CHM文件传播。

更新时间:

20181019

默认动作:

丢弃


事件名称:

TCP_木马后门_DanaBot_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到DanaBotMain dll试图下载其它组件。源IP所在的主机可能被植入了DanaBot DanaBot是一个银行木马,包含一个下载组件。下载组件运行后会下载核心Main dll组件。Main dll下载VNCStealerSniffer等组件,完成窃密。

更新时间:

20181019

默认动作:

丢弃