2019-07-12

发布时间 2019-07-12

新增事件


事件名称:

HTTP_IOT漏洞_Fortinet_FortiCam_FCM-MB40网络摄像头远程命令实行漏洞

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Fortinet FortiCam FCM-MB40漏洞攻击目的IP主机的行为

FortiCam FCM-MB40是美国飞塔企业的一款网络摄像头,管理Web界面中存在未经过过滤的输入漏洞,当管理用户进行身份验证时,会导致root权限远程命令实行。

更新时间:

20190712

默认动作:

丢弃


事件名称:

TCP_木马_Win32.TrickBot_CookiesDll64_Module

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马TrickBot

TrickBot是一个功能强大的窃密木马。Trickbot银行木马中包含CookiesDll64模块,该模块可以搜集用户的Cookies信息上传至服务器。

更新时间:

20190712

默认动作:

丢弃


事件名称:

HTTP_SQLiteManager_HTML注入漏洞[CVE-2007-1231]

事件级别:

中级事件

安全类型:

注入攻击

事件描述:

检测到源IP主机正在利用HTTP_SQLiteManager_HTML注入漏洞攻击的行为。

SQLiteManager是一个支撑多国语言基于WebSQLite数据库管理工具.它的特点包括多数据库管理,创建和连接;表格,数据,索引操作;视图,触发器,和自定义函数管理.数据导入/导出;数据库结构导出.

更新时间:

20190712

默认动作:

丢弃


事件名称:

TCP_Struts2_devmode_远程命令实行漏洞

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用TCP_Struts2_devmode_远程命令实行漏洞的行为。

Apache Struts是美国阿帕奇(Apache)App基金会负责维护的一款用于创建企业级Java Web应用的开源框架。

dev模式不应该开启并开放到互联网,在此模式下将会任意实行ognl表达式。

更新时间:

20190712

默认动作:

丢弃


事件名称:

HTTP_D-Link_DIR-823G_重启漏洞[CVE-2018-17880]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_D-Link_DIR-823G_重启漏洞对目的主机进行攻击的行为。

更新时间:

20190712

默认动作:

丢弃


事件名称:

HTTP_木马后门_Ratsnif.OceanLotus_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到后门Ratsnif试图连接远程服务器。源IP所在的主机可能被植入了Ratsnif

RatsnifAPT组织海莲花使用的后门,拥有强大的网络攻击能力,包括拦截网络流量、欺骗域名系统、向HTTP注入恶意攻击代码。

更新时间:

20190712

默认动作:

丢弃


事件名称:

HTTP_WordPress_Plugin_Plainview_Activity_Monitor远程命令实行漏洞[CVE-2018-15877]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用WordPress_Plugin_Plainview_Activity_Monitor远程命令实行漏洞攻击目的IP主机的行为

更新时间:

20190712

默认动作:

丢弃




修改事件


事件名称:

TCP_木马_CoinMiner_连接矿池成功

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CoinMiner木马。

CoinMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。

更新时间:

20190712

默认动作:

丢弃


事件名称:

HTTP_Tomcat_PUT方法远程代码实行漏洞[CVE-2017-12615_12616_12617]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP地址主机正在向目的IP地址主机发起Tomcat PUT方法远程代码实行漏洞攻击的行为。

Tomcat服务器是一个免费的开放源代码的 Web 应用服务器。

Tomcat 7.x存在利用PUT方法远程代码实行攻击的漏洞。Tomcat默认配置无法触发该漏洞,只有当readonly参数被设置为false,即允许使用PUT方法上传文件时,攻击者可以利用该漏洞上传一个JSP文件,进而远程实行任意代码。

更新时间:

20190712

默认动作:

丢弃