2019-10-22

发布时间 2019-10-22

新增事件


事件名称:

HTTP_木马后门_webshell_Jscript上传后门程序

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到源IP地址主机正在向目的IP地址主机传送可疑的webshell文件。

webshellweb入侵的脚本攻击工具。简单说,webshell就是一个用aspphp等编写的木马后门,攻击者在入侵了一个网站后,常常将这些aspphp等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、实行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。

更新时间:

20191022

默认动作:

丢会话

















事件名称:

HTTP_后门_Win32.SaefkoAgentRAT _连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。

SaefkoAgent 是一个远控程序,使用C#语言编写,运行后可以完全控制被感染机器,包括上传窃密信息,屏幕截图,下载文件实行等功能。

更新时间:

20191022

默认动作:

丢会话











事件名称:

TCP_mysql_authbypass

事件级别:

中级事件

安全类型:

网络数据库攻击

事件描述:

当连接MariaDB/MySQL时,输入的密码会与希望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。而且漏洞利用工具已经出现。

更新时间:

20191022

默认动作:

丢会话












事件名称:

HTTP_Tunna隧道连接

事件级别:

中级事件

安全类型:

木马后门

事件描述:

Tunna:一款神奇的工具,它可以通过HTTP封装隧道通信任何TCP,以及用于绕过防火墙环境中的网络限制。

更新时间:

20191022

默认动作:

丢会话












修改事件


事件名称:

UDP_微软_Windows_DNS解析远程代码实行漏洞[MS11-030][CVE-2011-0657]

事件级别:

中级事件

安全类型:

安全漏洞

事件描述:

检测到源IP主机试图通过MS11-030漏洞攻击目的IP主机。一旦攻击成功,攻击者可以用NetworkService运行任意代码。

微软 Windows在实现上存在DNS解析远程代码实行漏洞。

DNS客户端服务处理特制的LLMNR请求时存在一个远程代码实行漏洞,成功利用此漏洞的攻击者可以用NetworkService运行任意代码。攻击者可以安装程序;查看、更改或删除数据;或以完全用户权限创建新账户。

更新时间:

20191022

默认动作:

丢会话
















删除事件


1、HTTP_fastjson-blacklist1

2、HTTP_fastjson-blacklist2