2019-12-03

发布时间 2019-12-03

新增事件


事件名称:

HTTP_vBulletin_输入验证错误漏洞[CVE-2019-16759]

安全类型:

安全漏洞

事件描述:

检测到试图通过利用vBulletin输入验证错误漏洞进行攻击的行为。

vBulletin是美国InternetBrandsvBulletinSolutions企业的一款基于PHPMySQL的开源Web论坛程序。

vBulletin 5.x版本至5.5.4版本中存在安全漏洞。攻击者可借助‘widgetConfig[code]’参数利用该漏洞实行命令。

更新时间:

20191203











事件名称:

HTTP_D-Link_DNS-320操作系统命令注入漏洞[CVE-2019-16057]

安全类型:

安全漏洞

事件描述:

检测到试图通过利用D-Link DNS-320操作系统命令注入漏洞来实行命令的行为。

D-Link DNS-320是中国台湾友讯(D-Link)企业的一款NAS(网络附属存储)设备。

D-Link DNS-320 2.05.B10及之前版本中的login_mgr.cgi脚本存在操作系统命令注入漏洞。攻击者可利用该漏洞实行任意命令。

更新时间:

20191203











事件名称:

HTTP_SCADA_Schneider_Electric_U.Motion_Builder_SQL注入漏洞[CVE-2018-7841]

安全类型:

安全漏洞

事件描述:

检测到利用Schneider Electric U.Motion Builder SQL注入漏洞进行攻击的行为。

Schneider Electric U.Motion Builder是法国施耐德电气(Schneider Electric)企业的一套建筑物智能管理系统。

Schneider Electric U.Motion Builder 1.3.4及之前版本中的track_import_export.php脚本中存在操作系统命令注入漏洞,该漏洞源于外部输入数据构造操作系统可实行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞实行非法操作系统命令。

更新时间:

20191203















事件名称:

HTTP_IOT_多款路由器命令注入漏洞[CVE-2019-3929]

安全类型:

安全漏洞

事件描述:

检测到利用多款路由器命令注入漏洞进行攻击的行为。

多款路由器中存在命令注入漏洞。该漏洞源于外部输入数据构造可实行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞实行非法命令。

更新时间:

20191203










事件名称:

HTTP_LSP4XML_XXE_远程代码实行漏洞[CVE-2019-18213/CVE-2019-18212]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_LSP4XML_XXE_远程代码实行漏洞攻击目的IP主机的行为

1.LSP4XML是一个XML文件解析库,被VSCode/Eclipse等知名编辑器中使用。

更新时间:

20191203









事件名称:

TCP_木马_SDBbotRat_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。

SDBbot是使用C++语言编写的新型远程访问木马(RAT),由Get2下载工具在最新的TA505恶意活动中使用。SDBbot隐蔽性极强,且功能齐全,如:远程命令实行、上传/下载文件、视频监控等。

更新时间:

20191203










事件名称:

TCP_木马_ParasiteStealer_连接

安全类型:

木马后门

事件描述:

检测到 ParasiteStealer木马 试图连接远程服务器。源IP所在的主机可能被植入了 ParasiteStealer木马。

该木马会盗取多个浏览器记录的登录信息、Outlook邮箱密码及其他机密信息上传到指定服务器。

更新时间:

20191203










修改事件



事件名称:

TCP_木马后门_Win32/Linux_ircBot_连接

安全类型:

木马后门

事件描述:

检测到ircBot试图连接远程服务器。源IP所在的主机可能被植入了ircBot

ircBot是基于irc协议的僵尸网络,主要功能是对指定目标主机发起DDoS攻击。还可以下载其他病毒到被植入机器。

更新时间:

20191203









事件名称:

TCP_后门_Bitter.Rat(蔓灵花)_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Bitter

Bitter是一个功能非常强大的后门,运行后,可以完全控制被植入机器。

更新时间:

20191203








事件名称:

HTTP_后门_Bitter.Rat(蔓灵花)_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Bitter

Bitter是一个功能非常强大的后门,运行后,可以完全控制被植入机器。

更新时间:

20191203








事件名称:

HTTP_木马_Win32.FileStolen_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马FileStolen

FileStolen的主要功能为文件窃取,窃取指定逻辑磁盘下指定文件名的文件并且上传的到CC服务器,窃取的文件类型包括:txtpptpptxpdfdocdocxxlsxlsxzip7zrtf

更新时间:

20191203











事件名称:

TCP_后门_Linux.DDoS.Gafgyt_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DDoS.Gafgyt

DDoS.Gafgyt是一个Linux僵尸网络,主要功能是对指定目标机器发起DDoS攻击。

更新时间:

20191203








事件名称:

TCP_NSA_EternalChampion_(永恒冠军)_SMB远程代码实行漏洞Sync_Response[MS17-010]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用微软 Windows SMB远程代码实行漏洞进行攻击的行为。

微软 Windows是MicroSoft发布的非常流行的操作系统。

如果攻击者向 微软 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。

更新时间:

20191203












事件名称:

TCP_NSA_EternalChampion_(永恒冠军)_SMB远程代码实行漏洞Sync_Request[MS17-010]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用微软 Windows SMB远程代码实行漏洞进行攻击的行为。

微软 Windows是MicroSoft发布的非常流行的操作系统。

如果攻击者向 微软 服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。

更新时间:

20191203












事件名称:

HTTP_木马后门_webshell_ASP_Cmd_Shell_On_IIS_5.1_上传后门程序

安全类型:

木马后门

事件描述:

检测到源IP地址主机正在向目的IP地址主机传送可疑的webshell文件。

webshellweb入侵的脚本攻击工具。简单说,webshell就是一个用aspphp等编写的木马后门,攻击者在入侵了一个网站后,常常将这些aspphp等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、实行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。

更新时间:

20191203















事件名称:

HTTP_可疑目录浏览

安全类型:

CGI攻击

事件描述:

检测到由于配置不当导致的目录浏览

网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。

更新时间:

20191203










事件名称:

TCP_Win32.鬼影DDoS攻击_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。

鬼影DDoS是一个分布式拒绝服务攻击工具,抓取大量肉鸡,可以对指定目标主机发起DDos攻击。

DoSDenial Of Service)即拒绝服务攻击,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DDoSDistributed Denial Of Service)即分布式拒绝服务攻击。即同时使用若干台主机,同时对一台主机进行DoS攻击。

DDoSDistributed Denial of Service的简称,即分布式拒绝服务。攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一台计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千个代理程序的运行。

更新时间:

20191203