2021-05-11

发布时间 2021-05-12

新增事件


事件名称:

TCP_可疑行为_tracert命令_远程命令实行

安全类型:

可疑行为

事件描述:

检测到主机正在向源ip返回体中包含系统命令tracert的实行回显,可能是黑客攻击导致系统实行命令的返回,可能主机已经失陷

更新时间:

20210511


事件名称:

TCP_后门_Rotajakiro.Oceanlotus(海莲花)_连接

安全类型:

木马后门

事件描述:

检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门Rotajakiro。Rotajakiro疑似是APT组织海莲花所的使用后门,功能非常强大,运行后可以完全控制被感染机器。

更新时间:

20210511


事件名称:

HTTP_安全漏洞_Opentsdb_远程代码实行漏洞[CVE-2020-35476][CNNVD-202012-1211]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Opentsdb远程命令实行漏洞对目的主机进行攻击的行为。OpenTSDB(OpenTimeSeriesDataBase)是基于HBASE构建的分布式、可扩展的时间序列数据库。OpenTSDB可以获取电力行业、化工行业、物联网行业等各类型实时监测、检查与分析设备所采集、产生的时间序列数据,并提供存储、索引以及图形化服务,使其易于访问和可视化。OpenTSDB2.4.0及之前版本中存在远程代码实行漏洞,攻击者可通过构造恶意请求实现远程代码实行。

更新时间:

20210511


事件名称:

HTTP_可疑行为_copy_命令实行回显

安全类型:

安全漏洞

事件描述:

当前主机正在返回copy命令实行结果,copy是主机复制文件的命令,攻击者常用命令,如果返回体里面出现相关格式的内容,则可能主机已被攻陷

更新时间:

20210511


事件名称:

HTTP_天融信数据防泄漏系统_越权修改管理员漏洞

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用天融信数据防泄漏系统的越权漏洞进行管理员密码修改;天融信数据防泄漏系统(简称:TopDLP)是以深度内容识别技术为核心,在数据存储、传输和使用过程中,发现并识别敏感数据隐患,确保敏感数据合法使用,防止敏感数据泄漏的数据安全保护系统。

更新时间:

20210511


事件名称:

HTTP_APT攻击_Bitter(蔓灵花)_Win32.Downloader_连接C2

安全类型:

木马后门

事件描述:

蔓灵花(BITTER)是疑似具有南亚背景的APT组织,因其早期特马通信的数据包头部以“BITTER”作为标识而得名。该组织主要针对周边国家地区的政府,军工业,电力,核等单位进行攻击,以窃取敏感资料为目的,具有强烈的政治背景。该事件是一个.NET平台的Downloader,获取当前计算机用户名、系统版本、系统位数、MAC地址等信息,将获取的信息拼接上传到C2服务器,并从C2服务器下载文件实行。

更新时间:

20210511


事件名称:

HTTP_可疑行为_everything搜索页面被访问

安全类型:

CGI攻击

事件描述:

Everything是Windows上一款搜索引擎,由于配置中开启了ETP/FTP和HTTP服务,并未设置账号密码,导致可以访问服务器的文件。如果攻击ip是授权ip,则无需关注。

更新时间:

20210511


事件名称:

TCP_可疑行为_nslookup命令_远程命令实行

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在对目的IP实行nslookup命令,nslookup用于查询DNS的记录,查询域名解析是否正常,在网络故障时用来诊断网络问题,也可被攻击者用于探测机器是否可以联通外网。

更新时间:

20210511


修改事件


事件名称:

DNS_木马_可疑矿池域名解析请求

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了挖矿木马。挖矿木马尝试连接矿池,受害主机变慢。

更新时间:

20210511


事件名称:

TCP_冰蝎_php_webshell_上传

安全类型:

安全漏洞

事件描述:

检测到源IP主机正向目的主机上传冰蝎phpwebwhell木马,攻击者可远程控制被上传webshell主机实行任意操作。

更新时间:

20210511


事件名称:

HTTP_Citrix_ADC_远程代码实行漏洞[CVE-2020-8193][CNNVD-202007-367]

安全类型:

安全漏洞

事件描述:

检测到源IP正在利用Citrix_ADC的权限绕过漏洞,通过创建session,进而提权进行代码实行攻击,最后导致主机失陷,被攻击者接管。

更新时间:

20210511


事件名称:

HTTP_安全漏洞_泛微OA8_前台SQL实行

安全类型:

注入攻击

事件描述:

泛微OA是国内企业发布的一款移动办公平台。检测到攻击者正在利用泛微OA8前台的SQL实行漏洞,通过此漏洞可查询出后台密码等数据库敏感数据。

更新时间:

20210511


事件名称:

TCP_后门_Win32.Salgorea(海莲花)_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门Salgorea。Salgorea是海莲花所使用的强大后门,主要通过邮件传播。Salgorea运行后,会尝试获取敏感信息,也可实行C&C返回指令,去下载其他后门。窃取敏感信息。

更新时间:

20210511


事件名称:

TCP_僵尸网络_IoT.Moobot_连接

安全类型:

木马后门

事件描述:

检测到Moobot试图连接C&C服务器。源IP主机可能被植入了僵尸网络Moobot。Moobot是一个IoT僵尸网络,主要功能是对指定目标发起DDoS攻击,通过各类漏洞传播自身。

更新时间:

20210511


事件名称:

HTTP_安全漏洞_亿邮电子邮件系统_远程命令实行

安全类型:

安全漏洞

事件描述:

检测到源ip主机正在利用亿邮电子邮件系统使用POST方法在目的ip主机实行远程代码实行操作,亿邮电子邮件系统是由北京亿中邮信息技术有限企业(以下简称亿邮企业)开发的一款面向中大型集团企业、政府、高校用户的国产邮件系统。亿邮电子邮件系统采用了自主研发MTA引擎、分布式文件系统存储方式、多对列机制、ECS存储子系统、Cache系统等多项核心技术,提供了丰富的邮件功能。

更新时间:

20210511