每周升级公告-2022-03-22

发布时间 2022-03-22

新增事件


事件名称:

TCP_木马_jhProtominer(Protominer)_尝试连接矿池(PTS)

安全类型:

蠕虫病毒

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了jhProtMiner木马。jhProtMiner是挖取Protoshares(PTS,比特股)的高性能挖矿程序,它使用不同的算法,以牺牲挖掘速度为代价,允许每个线程任意使用内存。挖矿程序会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。

更新时间:

20220322

 

事件名称:

HTTPS_木马_可疑矿池主域名解析请求8

安全类型:

蠕虫病毒

事件描述:

检测到可疑挖矿木马试图连接域名服务器解析矿池地址。源IP所在的主机可能被植入了挖矿木马。挖矿木马尝试连接矿池,运行后使受害主机变慢,消耗CPU资源。如果为用户正常访问矿池主页,则忽略该事件。

更新时间:

20220322

 

事件名称:

HTTP_WordPress_WooCommerce插件_任意文件上传漏洞

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过利用WordPressWooCommerce插件任意文件上传漏洞攻击目的IP主机。WordPress是WordPressApp基金会的一套使用PHP语言开发的博客平台,该平台支撑在PHP和MySQL的服务器上架设个人博客网站。WooCommerce是一个的开源电子商务解决方案。

更新时间:

20220322

 

事件名称:

HTTP_WordPress_blaze_manage_任意文件上传漏洞

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过利用WordPress的blaze_manage页面进行任意文件上传漏洞攻击目的IP主机。WordPress是WordPressApp基金会的一套使用PHP语言开发的博客平台,该平台支撑在PHP和MySQL的服务器上架设个人博客网站。

更新时间:

20220322

 

事件名称:

HTTP_安全漏洞_beescms_认证绕过

安全类型:

安全漏洞

事件描述:

BEESCMSV4.0_R_20160525版本在参数传递时使用了不安全的方式,使用数组键值作为变量值。当变量中有同名的元素时,该函数默认将原有的值给覆盖掉,造成了变量覆盖漏洞。导致攻击者可以通过此漏洞绕过登录认证,使用管理员身份登录后台。

更新时间:

20220322

 

事件名称:

HTTP_PHP168-cache-adminlogin_logs.php_任意代码实行

安全类型:

安全漏洞

事件描述:

PHP168整站是PHP领域当前功能最强大的建站系统,代码全部开源,可极其方便的进行二次开发,所有功能模块可以自由安装与删除,个人用户完全免费使用。它凭借着自身的强大、稳定、安全、灵活、易用等多方面的优势,其版本存在任意代码实行,可能危害到系统安全。

更新时间:

20220322

 

事件名称:

HTTP_安全漏洞_Apache-Solr_任意文件读取漏洞[CVE-2020-13941][CNNVD-202008-850]

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用Apache-Solr8.6.0版本中的任意文件读取漏洞,窃取敏感信息。ApacheSolr是一个开源的搜索服务,使用Java语言开发。

更新时间:

20220322

 

事件名称:

TCP_安全漏洞_Jackson_Databind_可疑反序列化类_dbcp[CVE-2020-35491/CVE-2020-36179/CVE-2020-36181/CVE-2020-36183/CVE-2020-36186]

安全类型:

安全漏洞

事件描述:

Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为java对象的框架。攻击者可能利用jackson的可疑反序列化类org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource或org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource攻击目的IP主机。

更新时间:

20220322

 

事件名称:

HTTP_代码实行_SpringSecurityOauth_代码注入漏洞[CVE-2016-4977][CNNVD-201705-1270]

安全类型:

安全漏洞

事件描述:

检测到源ip主机正在利用Spring的错误页面构造恶意参数从而导致SpEL代码实行。SpringSecurityOAuth是为Spring框架提供安全认证支撑的一个模块。

更新时间:

20220322

 

事件名称:

TCP_木马_CGMiner_尝试连接矿池(BTC)

安全类型:

蠕虫病毒

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了CGMiner木马。CGMiner是一个用于比特币的多线程多矿池FPGA和ASIC矿工。挖矿程序会占用CPU资源,可能导致受害主机变慢。占用用户资源进行挖矿。

更新时间:

20220322

 

事件名称:

HTTP_安全漏洞_Kibana_远程文件包含漏洞利用[CVE-2018-17246][CNNVD-201811-285]

安全类型:

安全漏洞

事件描述:

检测到源ip主机正在利用Kibana的远程文件包含漏洞上传文件至服务器任意位置,从而实行任意代码。Kibana是一个开源的分析与可视化平台,设计出来用于和Elasticsearch一起使用的,可以用kibana搜索、查看存放在Elasticsearch中的数据。

更新时间:

20220322


修改事件

 

事件名称:

TCP_SpringOAuth2_SPEL_远程代码实行漏洞[CVE-2018-1260][CNNVD-201805-402]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图利用Spring框架OAuth2模块远程代码实行漏洞攻击目的IP主机。攻击者可以向授权服务器发起授权请求,当转发至授权审批终端(ApprovalEndpoint)时,会导致远程代码实行漏洞的攻击。漏洞存在的版本:SpringSecurityOAuth2.3-2.3.2、2.2-2.2.1、2.1-2.1.1、2.0-2.0.14及早期不支撑版本攻击成功,可远程实行任意代码。

更新时间:

20220322


事件名称:

HTTP_JACKSON_Shiro_远程代码实行

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用JACKSON-Shiro远程代码实行漏洞对目的IP主机进行攻击的行为,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。

更新时间:

20220322

 

事件名称:

HTTP_Nexus_Repository_Manager_3远程代码实行漏洞[CVE-2020-10204][CNNVD-202004-036]

安全类型:

安全漏洞

事件描述:

检测到源IP利用NexusRepositoryManager3通过admin权限构造恶意json实行代码。NexusRepositoryManager3是一个Java服务器应用程序。

更新时间:

20220322

 

事件名称:

HTTP_安全漏洞_mini_httpd_任意文件读取漏洞[CVE-2018-18778][CNNVD-201810-1382]

安全类型:

安全漏洞

事件描述:

Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括HUAWEI,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。ACMEmini_httpd<1.30版本存在一个任意文件读取漏洞,该漏洞源于在mini_httpd开启虚拟主机模式的情况下,用户请求http://HOST/FILE将会访问到当前目录下的HOST/FILE文件,而当HOST为空、FILE=etc/passwd的时候,上述语句结果为/etc/passwd。可作为绝对路径,读取到了/etc/passwd,造成任意文件读取漏洞。

更新时间:

20220322

 

事件名称:

TCP_后门_DDoS.MrBlack_连接

安全类型:

其他事件

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马MrBlack。MrBlack是一个跨平台的僵尸网络,支撑Windows、Linux。主要功能是对指定目的主机发起DDoS攻击。还可以下载其他病毒到被植入机器。对指定目的主机发起DDoS攻击。

更新时间:

20220322

 

事件名称:

HTTP_安全漏洞_ElasticSearch_命令实行漏洞[CVE-2014-3120]

安全类型:

安全漏洞

事件描述:

检测到试图通过利用ElasticSearch远程命令实行漏洞进行攻击的行为,攻击者可以利用该漏洞实行任意命令。ElasticSearch是一个基于Lucene的搜索服务器,基于Java开发。ElasticSearch支撑传入动态脚本(MVEL)来实行一些复杂的操作,而MVEL可实行Java代码,攻击者利用该漏洞可以在ElasticSearch服务器中实行任意Java代码或命令。

更新时间:

20220322

 

事件名称:

TCP_僵尸网络_Linux.AESDDOS(Dofloo)_连接C2

安全类型:

其他事件

事件描述:

Dofloo(AESDDoS)僵尸网络从被感染系统窃取信息,包括操作系统版本,CPU型号、速度和内存等信息上传到C2服务器,并根据返回的命令进行AES解密,实行Cmdshell或者发起各种类型的DDoS攻击,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CCFlood。实行Cmdshell命令或者发起DDOS攻击。

更新时间:

20220322

 

事件名称:

TCP_安全漏洞_Spring-Data-REST-PATCH请求_远程实行代码[CVE-2017-8046][CNNVD-201704-1106]

安全类型:

安全漏洞

事件描述:

该漏洞为攻击者通过SpringDataRest支撑的PATCH方法,构造恶意的Json格式数据发送到服务端,导致服务端在解析数据时会实行任意Java代码、解析SpEL表达式,从而实现远程任意代码实行。

更新时间:

20220322