2018-11-09

发布时间 2018-11-09

新增事件


事件名称:

HTTP_木马_PredatorTheThief_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Predator The Thief Predator The Thief是一个功能异常强大的窃密木马,可窃取主流浏览器、FTPTelegramSteamWallets等客户端保存的账号密码。

更新时间:

20181109

默认动作:

丢弃


事件名称:

HTTP_后门_Final1stspy(Reaper)_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门Final1stspy试图连接远程服务器。源IP所在的主机可能被植入了Final1stspy Final1stspyAPT组织Reaper使用的一个后门,功能非常强大。

更新时间:

20181109

默认动作:

丢弃


事件名称:

HTTP_木马_Mitm.iTranslator_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门iTranslator试图连接远程服务器。源IP所在的主机可能被植入了iTranslator iTranslator是一个木马,会控制被植入机器,并监控所有的网页浏览,进行中间人攻击

更新时间:

20181109

默认动作:

丢弃


事件名称:

HTTP_木马后门_CasperTroy(Lazarus)_连接

事件级别:

中级事件

安全类型:

木马后门 

事件描述:

检测到后门CasperTroy试图连接远程服务器。源IP所在的主机可能被植入了CasperTroy CasperTroyAPT组织Lazarus使用的一个后门,功能非常强大。

更新时间:

20181109

默认动作:

丢弃


修改事件


事件名称:

HTTP_异常请求[CVE-2011-1965]

事件级别:

非攻击事件

安全类型:

安全审计

事件描述:

检测到源IP主机正在使用异常的HTTP请求目的IP主机WEB服务器上的页面。 通常情况下一些攻击者会发送超长的URL请求,或带有HTTP请求包体的GET请求等方式来攻击某些WEB服务器。该事件并不一定表示有攻击产生,但是存在攻击的可能,请查看相应的源IP及请求的URL是否合法

更新时间:

20181109

默认动作:

丢弃


事件名称:

HTTP_WEB命令注入攻击

事件级别:

中级事件

安全类型:

CGI攻击

事件描述:

检测到源IP地址主机正在向目的IP地址主机进行命令注入攻击。 Web命令注入攻击就是WEB系统对用户输入的数据没有进行严格的过滤就使用,从而给黑客留下了可乘之机,攻击者可以在提交的数据中加入一些系统命令获得服务器的敏感信息或者数据。

更新时间:

20181109

默认动作:

丢弃


事件名称:

TCP_后门_Win32.NanoCore_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门NanoCore Rat NanoCore是一个功能异常强大的后门,CSharp语言编写,支撑许多插件。运行后,可完全控制被植入机器。

更新时间:

20181109

默认动作:

丢弃


事件名称:

TCP_木马_CoinMiner_尝试连接矿池

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Coinminer木马。 CoinMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。

更新时间:

20181109

默认动作:

丢弃