2020-12-16

发布时间 2020-12-16

新增事件


事件名称:

TCP_ZooKeeper_未授权访问漏洞

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用ZooKeeper存在的未授权访问漏洞进行攻击的行为。ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是谷歌Chubby一个开源的实现,是HadoopHbase的重要组件。

更新时间:

20201215


1.png


事件名称

TCP_安全漏洞_InfluxDB_未授权访问漏洞

安全类型:

安全漏洞

事件描述:

influxdb 是一款著名的时序数据库,其使用 jwt 作为鉴权方式。在用户开启了认证,但未设置参数 shared-secret 的情况下,jwt 的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在 influxdb 中实行 SQL 语句。

更新时间:

20201215


事件名称:

HTTP_ZoHo_ManageEngine_任意文件上传漏洞[CVE-2019-8394][CNNVD-201902-646]

安全类型:

安全漏洞

事件描述:

检测检测到源IP主机正在利用ZoHo_ManageEngine ServiceDesk Plus的漏洞上传任意文件;ZOHO ManageEngine ServiceDesk PlusSDP)是美国卓豪(ZOHO)企业的一套基于ITIL架构的IT服务管理App。该App集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。

更新时间:

20201215


事件名称:

HTTP_Struts2_S2-061远程命令实行攻击[CVE-2020-17530]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过Apache Struts2框架命令实行漏洞攻击目的IP主机。

更新时间:

20201215


事件名称:

HTTP_安全漏洞_FineCMS_任意文件写入getshell漏洞

安全类型:

安全漏洞

事件描述:

FineCMS存在任意文件上传漏洞,可以通过构造参数请求实行php代码,获取目标权限。

更新时间:

20201215


事件名称:

DNS_挖矿蠕虫_WannaMine_下载行为

安全类型:

蠕虫病毒

事件描述:

检测到挖矿蠕虫WannaMine下载行为

更新时间:

20201215


事件名称:

DNS_挖矿蠕虫_WannaMine_连接DNS服务器通信

安全类型:

蠕虫病毒

事件描述:

检测到挖矿蠕虫WannaMine连接DNS服务器通信

更新时间:

20201215


事件名称:

DNS_APT_索伦之眼(ProjectSauron)_连接

安全类型:

木马后门

事件描述:

检测到APT组织索伦之眼(ProjectSauron)攻击

更新时间:

20201215


事件名称:

DNS_木马_可疑dns隧道工具_连接

安全类型:

可疑行为

事件描述:

疑似出现了dns隧道工具发出的dns请求,源IP可能被植入了诸如dnscat之类的dns隧道工具。

更新时间:

20201215


事件名称:

TCP_Apache_Tomcat_Websocket_DoS攻击[CVE-2020-13935][CNNVD-202007-571]

安全类型:

拒绝服务

事件描述:

在在受影响范围内的tomcat版本中, 用到了websocket时,WebSocket frame中的"负载长度"(payload length)没有被正确地验证,从而"无效的负载长度"(Invalid payload lengths)能触发一个"无限循环"(infinite loop),具有"无效的负载长度"的多个requests能够导致拒绝服务.

更新时间:

20201215


修改事件


事件名称:

HTTP_安全漏洞_PaloAlto_GlobalProtect_SSL_VPN格式化字符串_命令实行漏洞

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用PaloAlto GlobalProtect SSL VPN格式化字符串漏洞攻击目的IP主机的行为。

更新时间:

20201215


事件名称:

HTTP_ECShop全系列版本远程代码实行漏洞

安全类型:

安全漏洞

事件描述:

检测到源IP主机正向目的主机进行Ecshop登录页面注入攻击代码。

更新时间:

20201215


事件名称:

SMTP_可疑病毒邮件_VBS

安全类型:

蠕虫病毒

事件描述:

事件源IP所在的主机正在发送VBS病毒邮件。

更新时间:

20201215