首頁 > 技術支持 > 升級公告 > 每周升級公告

2019-05-17

發布時間 2019-05-17

新增事件


事件名稱:

HTTP_木馬_PS.Unk.EB.Spreader

事件級別:

中級

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP主機可能被植入了PS.Unk.EB.Spreader。

PS.Unk.EB.Spreader是一個powershell木馬,掃描永恒之藍漏洞,并把掃描結果回傳給C&C。

更新時間:

20190517

默認動作:

丟棄

 

事件名稱:

HTTP_x-up-devcap-post-charset_請求編碼繞過攻擊

事件級別:

中級

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Web服務器x-up-devcap-post-charsetutf-8請求編碼繞過漏洞攻擊的行為。

更新時間:

20190517

默認動作:

丟棄

 

事件名稱:

HTTP_SQLiteManager_多頁面XSS注入漏洞[CVE-2012-5015]

事件級別:

中級

安全類型:

注入攻擊

事件描述:

檢測到源IP主機正在利用HTTP_SQLiteManager_多頁面XSS注入漏洞攻擊的行為。

更新時間:

20190517

默認動作:

丟棄

 

事件名稱:

TCP_SQLiteManager_目錄穿越漏洞[CVE-2007-1232]

事件級別:

中級

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用TCP_SQLiteManager_目錄穿越漏洞攻擊的行為。

更新時間:

20190517

默認動作:

丟棄


修改事件


事件名稱:

TCP_后門_VBS.H.Worm.Rat_連接

事件級別:

中級

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬。

H-worm是一個基于VBS語言的后門,功能非常強大。H-worm借鑒了njRAT的開源代碼,服務端為使用VBS腳本編寫的蠕蟲病毒,適用于Windows全系操作系統并且使用了比較先進的User-Agent傳遞數據的方式,主要傳播方式有三種:電子郵件附件、惡意鏈接和被感染的U盤傳播,蠕蟲式的傳播機制會形成大量的感染。因為其簡潔有效的遠控功能、非PE腳本易于免殺、便于修改等特性,一直被黑產所青睞而活躍至今。

更新時間:

20190517

默認動作:

丟棄

 

事件名稱:

HTTP_木馬_Win32.Andromeda_連接

事件級別:

中級

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Andromeda。

Andromeda是一個模塊化的僵尸網絡,運行期間,會從C&C服務器下載各類模塊。具有反虛擬機和反調試的功能。

更新時間:

20190517

默認動作:

丟棄

 

事件名稱:

HTTP_Weblogic_wls-wsat_遠程代碼執行漏洞[CVE-2017-3506/10271]

事件級別:

高級

安全類型:

安全漏洞

事件描述:

檢測到源IP地址主機正在向目的IP地址主機發起Weblogic wls-wsat遠程代碼執行漏洞攻擊的行為。

Oracle Weblogic Server是應用程序服務器。

Oracle Weblogic Server 10.3.6.0、12.2.1.2、12.2.1.1、12.1.3.0 版本存在該漏洞。Weblogic WLS組件允許遠程攻擊者執行任意命令。攻擊者向Weblogic服務器發送精心構造的HTTP惡意請求,攻擊成功可以獲取到服務器的Webshell,進一步可以獲得目標服務器的控制權。

更新時間:

20190517

默認動作:

丟棄

 

事件名稱:

TCP_JavaRMI反序列化_遠程命令執行漏洞[CVE-2017-3241]

事件級別:

中級

安全類型:

安全漏洞

事件描述:

檢測到源IP利用TCP_JavaRMI反序列化遠程命令執行漏洞進行攻擊的行為。

更新時間:

20190517

默認動作:

丟棄

 

事件名稱:

TCP_Oracle_WebLogic_反序列化漏洞[CNVD-C-2019-48814]_sub1

事件級別:

高級

安全類型:

安全漏洞

事件描述:

檢測到源IP利用weblogic反序列化漏洞進行攻擊的行為。

更新時間:

20190517

默認動作:

丟棄

 

事件名稱:

TCP_Oracle_WebLogic_反序列化漏洞[CNVD-C-2019-48814]_sub2

事件級別:

高級

安全類型:

安全漏洞

事件描述:

檢測到源IP利用weblogic反序列化漏洞進行攻擊的行為。

更新時間:

20190517

默認動作:

丟棄

 

刪除事件


事件名稱:

HTTP_Weblogic_wls-wsat_遠程代碼執行漏洞2[CVE-2017-3506/10271]

事件級別:

高級

安全類型:

安全漏洞

事件描述:

檢測到源IP地址主機正在向目的IP地址主機發起Weblogic wls-wsat遠程代碼執行漏洞攻擊的行為。

Oracle Weblogic Server是應用程序服務器。

Oracle Weblogic Server 10.3.6.0、12.2.1.2、12.2.1.1、12.1.3.0 版本存在該漏洞。Weblogic WLS組件允許遠程攻擊者執行任意命令。攻擊者向Weblogic服務器發送精心構造的HTTP惡意請求,攻擊成功可以獲取到服務器的Webshell,進一步可以獲得目標服務器的控制權。

更新時間:

20190517

默認動作:

丟棄

 

上一篇 下一篇