首頁 > 技術支持 > 升級公告 > 每周升級公告

2018-12-21

發布時間 2018-12-21

新增事件


事件名稱:

HTTP_assert變量替換php小馬_上傳

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到后門木馬腳本上傳

更新時間:

20181221

默認動作:

丟棄



事件名稱:

HTTP_chr()函數字母轉換php小馬_上傳

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到后門木馬腳本上傳

更新時間:

20181221

默認動作:

丟棄



事件名稱:

HTTP_無字母型php小馬_上傳

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到后門木馬腳本上傳

更新時間:

20181221

默認動作:

丟棄



事件名稱:

TCP_后門_Gh0st.feedckkfy_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Gh0st.feedckkfy。

Gh0st.feedckkfy是利用一個根據Gh0st遠控的源碼修改而來的后門。運行后可完全控制被植入機器。

更新時間:

20181221

默認動作:

丟棄



事件名稱:

TCP_木馬后門_Win32.IndSocket_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了IndSocket。

IndSocket是一個功能強大的后門,運行后可完全控制被植入機器。

更新時間:

20181221

默認動作:

丟棄



事件名稱:

HTTP_目錄遍歷[../]

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP地址試圖通過..來非法訪問目的IP地址主機文件。如果使用惡意的參數提交訪問,可能會造成信息泄漏、拒絕服務等危害產生。

目錄遍歷攻擊的目標通常是沒有對客戶端請求的文件作適當的路徑驗證的web,或者web應用,以及ftp服務

更新時間:

20181221

默認動作:

丟棄



事件名稱:

HTTP_木馬后門_webshell_jsp一句話_上傳后門程序

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到源IP地址主機正在向目的IP地址主機傳送可疑的webshell文件。

webshellweb入侵的腳本攻擊工具。簡單說,webshell就是一個用aspphp等編寫的木馬后門,攻擊者在入侵了一個網站后,常常將這些aspphp等木馬后門文件放置在網站服務器的web目錄中,與正常的網頁文件混在一起。然后攻擊者就可以用web的方式,通過該木馬后門控制網站服務器,包括上傳下載文件、查看數據庫、執行任意程序命令等。webshell可以穿越防火墻,由于與被控制的服務器或遠程主機交換的數據都是通過80端口傳遞的,因此不會被防火墻攔截。并且使用webshell一般不會在系統日志中留下記錄,只會在網站的web日志中留下一些數據提交記錄,管理員較難看出入侵痕跡。

更新時間:

20181221

默認動作:

丟棄


修改事件


事件名稱:

HTTP_Malware_KardonLoader_連接服務器

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到Kardon Loader試圖連接遠程服務器。源IP所在的主機可能被植入了Kardon Loader。

Kardon Loader是一個全功能的下載器,可以下載和安裝其他惡意軟件。例如,銀行木馬/憑證竊取軟件等。

更新時間:

20181221

默認動作:

丟棄



事件名稱:

TCP_后門_njRat變種_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了njRat變種。

njRat是一個CSharp語言編寫的后門,功能異常強大,可完全控制被感染機器。

可以竊取敏感信息,如鍵盤記錄、主流瀏覽器(Firefox、Google Chrome、Opera)保存的密碼、焦點窗口標題等。目前已經出現很多njRat變種。

更新時間:

20181221

默認動作:

丟棄


上一篇 下一篇