2019-07-26

发布时间 2019-07-25

新增事件


事件名称:

HTTP_木马_Win32.achs_连接

事件级别:

级事件

安全类型:

木马攻击

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了achs木马。

achs是一个基于Python语言的木马,使用HTTP协议与C&C进行通信并上传敏感信息。

更新时间:

20190726

默认动作:

丢弃

 

事件名称:

TCP_DATAC_Control_RealWin_SCADA_System数据包处理缓冲区溢出漏洞

事件级别:

级事件

安全类型:

缓冲溢出

事件描述:

检测到源IP主机正试图通过DATAC Control RealWin SCADA System数据包处理缓冲区溢出漏洞攻击目的IP主机。  

RealWin是运行在Windows平台上的数据采集与监视控制系统(SCADA)服务器产品。如果远程攻击者向RealWin服务器发送了特制的FC_INFOTAG/SET_CONTROL报文的话,就可以触发栈溢出,导致实行任意代码。

RealWin服务器使用专有协议接受来自FlewWin客户端的连接,无需拥有有效凭据便可以利用这个漏洞。检测到源IP主机正试图通过DATAC Control RealWin SCADA System数据包处理缓冲区溢出漏洞攻击目的IP主机。  

RealWin是运行在Windows平台上的数据采集与监视控制系统(SCADA)服务器产品。

如果远程攻击者向RealWin服务器发送了特制的FC_INFOTAG/SET_CONTROL报文的话,就可以触发栈溢出,导致实行任意代码。RealWin服务器使用专有协议接受来自FlewWin客户端的连接,无需拥有有效凭据便可以利用这个漏洞。

更新时间:

20190726

默认动作:

丢弃

 

事件名称:

TCP_木马后门_DarkDcm_连接

事件级别:

级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了DarkDcm。

DarkDcm是一个功能强大的后门,使用UDP协议与C&C进行通信。

更新时间:

20190726

默认动作:

丢弃

 

事件名称:

HTTP_Yealink_SIP-T38G_远程代码实行漏洞

事件级别:

级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_Yealink_SIP-T38G_远程代码实行漏洞攻击目的IP主机的行为

更新时间:

20190726

默认动作:

丢弃

 

事件名称:

HTTP_ZeroShell_远程代码实行漏洞

事件级别:

级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_ZeroShell_远程代码实行漏洞攻击目的IP主机的行为

更新时间:

20190726

默认动作:

丢弃

 

事件名称:

TCP_Redis_v4.x-v5.x加载恶意拓展文件远程命令实行

事件级别:

级事件

安全类型:

安全漏洞

事件描述:

检测到源IP利用redis加载恶意文件漏洞进行攻击的行为

更新时间:

20190726

默认动作:

丢弃

 

事件名称:

TCP_Redis_未授权访问getshell漏洞

事件级别:

级事件

安全类型:

安全漏洞

事件描述:

检测到源IP利用redis未授权访问漏洞进行攻击的行为

更新时间:

20190726

默认动作:

通过

 


修改事件

事件名称:

UDP_木马后门_DarkDcm_连接

事件级别:

级事件

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了DarkDcm。

DarkDcm是一个功能强大的后门,使用UDP协议与C&C进行通信。

更新时间:

20190726

默认动作:

丢弃