2019-03-29

发布时间 2019-03-29

新增事件


事件名称:

HTTP_木马_Win32.ImmortalStealer_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了窃密木马ImmortalStealer

ImmortalStealer是一个功能强大的窃密木马,可窃取主流浏览器保存的账号密码及Cookie。还可以窃取各类客户端的凭证,如游戏Steam、比特币Bitcoin-Qt等。

更新时间:

20190329

默认动作:

丢弃


事件名称:

HTTP_木马_Win32.Tefosteal_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了窃密木马Tefosteal

Tefosteal是一个窃密木马,运行后窃取浏览器保存的Cookies和凭证,以及其它系统信息。

更新时间:

20190329

默认动作:

丢弃


事件名称:

HTTP_elFinder命令注入漏洞

事件级别:

中级事件

安全类型:

注入攻击

事件描述:

检测到源IP主机正在利用elFinder命令注入漏洞攻击目的IP主机行为。

elFinder是一套基于Drupal平台的、开源的AJAX文件管理器。该产品提供多文件上传、图像缩放等功能;

elFinder 2.1.48之前版本中的PHP connector存在命令注入漏洞。攻击者可以在上传文件时利用该漏洞,实行任意命令、生成webshell等操作。

更新时间:

20190329

默认动作:

丢弃


事件名称:

HTTP_WordPress_Social_Warfare_Plugin_before3.5.3_远程代码实行

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用WordPress Social Warfare插件远程代码实行漏洞攻击目的IP主机的行为,试图通过对特定参数传入恶意代码或命令来入侵目的IP主机。

更新时间:

20190329

默认动作:

丢弃



删除事件


说明:仅APT产品删除该事件,其他产品无此事件。


事件名称:

TCP_NMAP扫描探测接

事件级别:

高级事件

安全类型:

安全扫描

事件描述:

Nmap是一个非常成熟的扫描App,它符合GPL协议免费提供下载。Nmap可以进行多种不同TCP标志的扫描也可以探测操作系统类型。很多操作系统将Nmap作为标准网络工具提供给用户。通过扫描远程入侵者可以得到目标主机开放的服务和系统类型,为进一步入侵收集信息。

该扫描可能会使攻击者获取被扫描主机的开放端口。

更新时间:

20190329

默认动作:

丢弃