每周升级公告-2021-04-27

发布时间 2021-04-28

修改事件


事件名称:

TCP_后门_幽灵远控可疑变种_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。幽灵远控程序是利用一个根据Gh0st远控的源码修改而来的后门。运行后可以完全控制被感染机器。攻击者可远程控制被控端主机做各种操作。

更新时间:

20210427


事件名称:

HTTP_Struts2_S2-019远程代码实行漏洞[CVE-2013-4316]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过ApacheStruts2远程代码实行漏洞对目的主机进行攻击的行为。该漏洞源于程序默认启用DynamicMethodInvocation机制。远程攻击者可利用此漏洞在受影响应用上下文中实行任意代码。漏洞存在的版本:Struts2.0.0-Struts2.3.15.1攻击成功,可远程实行任意代码。

更新时间:

20210427


事件名称:

HTTP_通用_unicode绕过

安全类型:

可疑行为

事件描述:

发现源IP主机疑似在利用unicode编码绕过规则检测的行为。

更新时间:

20210427


事件名称:

ICMP_隧道代理HTTP服务

安全类型:

可疑行为

事件描述:

通常ICMP隧道技术采用ICMP的ICMP_ECHO和ICMP_ECHOREPLY两种报文,把数据隐藏在ICMP数据包包头的选项域中,利用ping命令建立隐蔽通道。

更新时间:

20210427