2019-08-13

发布时间 2019-08-13

新增事件

 

事件名称:

HTTP_Apache_Solr远程反序列化代码实行漏洞[CVE-2019-0192]

事件级别:

高级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Apache Solr远程反序列化代码实行漏洞对目的主机进行攻击的行为。

Apache Solr是一个开源的搜索服务器。Solr使用Java语言开发,主要基于HTTP Apache Lucene实现。Apache Solr solr.RunExecutableListener类存在远程代码实行漏洞,攻击者向网站发送精心构造的攻击payload,攻击成功可以远程实行任意命令,进而控制服务器。

更新时间:

20190813

默认动作:

丢弃

 

事件名称:

HTTP_ZyXEL_P660HN-T1A_命令注入漏洞[CVE-2017-18368]

事件级别:

高级事件

安全类型:

注入攻击

事件描述:

检测到源IP主机试图利用ZyXEL P660HN-T1A命令注入漏洞攻击目的IP主机的行为

ZyXEL P660HN-T1A是中国台湾合勤(ZyXEL)企业的一款无线路由器。 ZyXEL P660HN-T1Ahardware v1版本和TrueOnline固件340ULM0b31版本)中存在命令注入漏洞。该漏洞源于外部输入数据构造可实行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞实行非法命令。

更新时间:

20190813

默认动作:

丢弃

 

事件名称:

TCP_Redis_未授权访问_漏洞扫描

事件级别:

中级事件

安全类型:

安全扫描

事件描述:

检测到源IP尝试扫描redis未授权访问漏洞的行为

更新时间:

20190813

默认动作:

丢弃

                               

事件名称:

TCP_后门_暗影远控_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到暗影远控试图连接远程服务器。源IP所在的主机可能被植入了暗影远控。

暗影远控是一个功能强大远控,运行后可完全控制被植入机器。

更新时间:

20190813

默认动作:

丢弃

                           

事件名称:

HTTP_木马后门_LordExploitKit_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到漏洞利用工具包Lord试图下载恶意App,源IP主机正在浏览的网页很可能被植入了恶意的脚本代码,被定向到漏洞利用工具包Lord的页面,导致下载恶意App。

Exploit Kit是漏洞利用工具包,预打包了安装程序、控制面板、恶意代码以及相当数量的攻击工具。一般来说,Exploit Kit会包含一系列不同的漏洞利用代码。攻击者会向合法的网站注入恶意的脚本或代码,以重定向到Exploit Kit页面。受害者浏览网页时即加载Exploit Kit的各种漏洞利用代码,最终下载其它恶意App。

Lord2019年出现的一款Exploit Kit即漏洞利用工具包,主要以Flash漏洞为目标。

更新时间:

20190813

默认动作:

丢弃

                          

事件名称:

TCP_Redis_认证错误

事件级别:

中级事件

安全类型:

安全扫描

事件描述:

检测到源IPRedis_认证错误的行为。

更新时间:

20190813

默认动作:

通过

                            

事件名称:

TCP_SCADA_Schneider_Electric_Modbus_Serial_Driver基于栈的缓冲区溢出漏洞[CVE-2013-0662]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Schneider Electric Modbus Serial Driver基于栈的缓冲区溢出漏洞对目的主机进行攻击的行为。

Schneider Electric Modbus Serial Driver是法国施耐德电气(Schneider Electric)企业的一套Modbus系列(串行通讯设备类型管理器)的驱动程序。

Schneider Electric Modbus Serial Driver 1.103.2版本中的ModbusDrv.exe文件中存在基于栈的缓冲区溢出漏洞。远程攻击者可借助Modbus Application Header中大的buffer-size值利用该漏洞实行任意代码。

更新时间:

20190813

默认动作:

丢弃

                          

事件名称:

TCP_SCADA_Schneider_Electric_Interactive_Graphical_SCADA_System缓冲区溢出漏洞[CVE-2013-0657]

事件级别:

中级事件

安全类型:

缓冲溢出

事件描述:

该事件表明源IP主机正试图通过Schneider缓冲区溢出漏洞攻击目的IP主机。

Schneider Electric Interactive Graphical SCADA System (IGSS) 10和较早版本中存在基于栈的缓冲区溢出漏洞。远程攻击者利用该漏洞实行任意代码。

更新时间:

20190813

默认动作:

通过

 

 

修改事件

 

事件名称:

TCP_后门_KG.Rat_连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。

IP所在的主机可能被植入了木马。

KuGou.Rat是一个后门,连接远程服务器,接受实行黑客指令,可以完全控制被感染机器。试图获取敏感,如记录按键信息,获取焦点窗口的标题。

更新时间:

20190813

默认动作:

丢弃