2019-08-13
發布時間 2019-08-13新增事件
事件名稱: |
HTTP_Apache_Solr遠程反序列化代碼執行漏洞[CVE-2019-0192] |
事件級別: |
高級事件 |
安全類型: |
安全漏洞 |
事件描述: |
檢測到源IP主機正在利用Apache Solr遠程反序列化代碼執行漏洞對目的主機進行攻擊的行為。 Apache Solr是一個開源的搜索服務器。Solr使用Java語言開發,主要基于HTTP和 Apache Lucene實現。Apache Solr solr.RunExecutableListener類存在遠程代碼執行漏洞,攻擊者向網站發送精心構造的攻擊payload,攻擊成功可以遠程執行任意命令,進而控制服務器。 |
更新時間: |
20190813 |
默認動作: |
丟棄 |
事件名稱: |
HTTP_ZyXEL_P660HN-T1A_命令注入漏洞[CVE-2017-18368] |
事件級別: |
高級事件 |
安全類型: |
注入攻擊 |
事件描述: |
檢測到源IP主機試圖利用ZyXEL P660HN-T1A命令注入漏洞攻擊目的IP主機的行為 ZyXEL P660HN-T1A是中國臺灣合勤(ZyXEL)公司的一款無線路由器。 ZyXEL P660HN-T1A(hardware v1版本和TrueOnline固件340ULM0b31版本)中存在命令注入漏洞。該漏洞源于外部輸入數據構造可執行命令過程中,網絡系統或產品未正確過濾其中的特殊元素。攻擊者可利用該漏洞執行非法命令。 |
更新時間: |
20190813 |
默認動作: |
丟棄 |
事件名稱: |
TCP_Redis_未授權訪問_漏洞掃描 |
事件級別: |
中級事件 |
安全類型: |
安全掃描 |
事件描述: |
檢測到源IP嘗試掃描redis未授權訪問漏洞的行為 |
更新時間: |
20190813 |
默認動作: |
丟棄 |
事件名稱:
TCP_后門_暗影遠控_連接
事件級別:
中級事件
安全類型:
木馬后門
事件描述:
檢測到暗影遠控試圖連接遠程服務器。源IP所在的主機可能被植入了暗影遠控。
暗影遠控是一個功能強大遠控,運行后可完全控制被植入機器。
更新時間:
20190813
默認動作:
丟棄
事件名稱:
HTTP_木馬后門_LordExploitKit_連接
事件級別:
中級事件
安全類型:
木馬后門
事件描述:
檢測到漏洞利用工具包Lord試圖下載惡意軟件,源IP主機正在瀏覽的網頁很可能被植入了惡意的腳本代碼,被定向到漏洞利用工具包Lord的頁面,導致下載惡意軟件。
Exploit
Kit是漏洞利用工具包,預打包了安裝程序、控制面板、惡意代碼以及相當數量的攻擊工具。一般來說,Exploit Kit會包含一系列不同的漏洞利用代碼。攻擊者會向合法的網站注入惡意的腳本或代碼,以重定向到Exploit Kit頁面。受害者瀏覽網頁時即加載Exploit Kit的各種漏洞利用代碼,最終下載其它惡意軟件。
Lord是2019年出現的一款Exploit Kit即漏洞利用工具包,主要以Flash漏洞為目標。
更新時間:
20190813
默認動作:
丟棄
事件名稱:
TCP_Redis_認證錯誤
事件級別:
中級事件
安全類型:
安全掃描
事件描述:
檢測到源IP的Redis_認證錯誤的行為。
更新時間:
20190813
默認動作:
通過
事件名稱:
TCP_SCADA_Schneider_Electric_Modbus_Serial_Driver基于棧的緩沖區溢出漏洞[CVE-2013-0662]
事件級別:
中級事件
安全類型:
安全漏洞
事件描述:
檢測到源IP主機正在利用Schneider Electric Modbus Serial
Driver基于棧的緩沖區溢出漏洞對目的主機進行攻擊的行為。
Schneider
Electric Modbus Serial Driver是法國施耐德電氣(Schneider Electric)公司的一套Modbus系列(串行通訊設備類型管理器)的驅動程序。
Schneider
Electric Modbus Serial Driver 1.10至3.2版本中的ModbusDrv.exe文件中存在基于棧的緩沖區溢出漏洞。遠程攻擊者可借助Modbus Application Header中大的buffer-size值利用該漏洞執行任意代碼。
更新時間:
20190813
默認動作:
丟棄
事件名稱:
TCP_SCADA_Schneider_Electric_Interactive_Graphical_SCADA_System緩沖區溢出漏洞[CVE-2013-0657]
事件級別:
中級事件
安全類型:
緩沖溢出
事件描述:
該事件表明源IP主機正試圖通過Schneider緩沖區溢出漏洞攻擊目的IP主機。
Schneider
Electric Interactive Graphical SCADA System (IGSS) 10和較早版本中存在基于棧的緩沖區溢出漏洞。遠程攻擊者利用該漏洞執行任意代碼。
更新時間:
20190813
默認動作:
通過
修改事件
事件名稱: |
TCP_后門_KG.Rat_連接 |
事件級別: |
中級事件 |
安全類型: |
木馬后門 |
事件描述: |
檢測到木馬試圖連接遠程服務器。 源IP所在的主機可能被植入了木馬。 KuGou.Rat是一個后門,連接遠程服務器,接受執行黑客指令,可以完全控制被感染機器。試圖獲取敏感,如記錄按鍵信息,獲取焦點窗口的標題。 |
更新時間: |
20190813 |
默認動作: |
丟棄 |