2019-08-13

發布時間 2019-08-13

新增事件

 

事件名稱:

HTTP_Apache_Solr遠程反序列化代碼執行漏洞[CVE-2019-0192]

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Apache Solr遠程反序列化代碼執行漏洞對目的主機進行攻擊的行為。

Apache Solr是一個開源的搜索服務器。Solr使用Java語言開發,主要基于HTTP Apache Lucene實現。Apache Solr solr.RunExecutableListener類存在遠程代碼執行漏洞,攻擊者向網站發送精心構造的攻擊payload,攻擊成功可以遠程執行任意命令,進而控制服務器。

更新時間:

20190813

默認動作:

丟棄

 

事件名稱:

HTTP_ZyXEL_P660HN-T1A_命令注入漏洞[CVE-2017-18368]

事件級別:

高級事件

安全類型:

注入攻擊

事件描述:

檢測到源IP主機試圖利用ZyXEL P660HN-T1A命令注入漏洞攻擊目的IP主機的行為

ZyXEL P660HN-T1A是中國臺灣合勤(ZyXEL)公司的一款無線路由器。 ZyXEL P660HN-T1Ahardware v1版本和TrueOnline固件340ULM0b31版本)中存在命令注入漏洞。該漏洞源于外部輸入數據構造可執行命令過程中,網絡系統或產品未正確過濾其中的特殊元素。攻擊者可利用該漏洞執行非法命令。

更新時間:

20190813

默認動作:

丟棄

 

事件名稱:

TCP_Redis_未授權訪問_漏洞掃描

事件級別:

中級事件

安全類型:

安全掃描

事件描述:

檢測到源IP嘗試掃描redis未授權訪問漏洞的行為

更新時間:

20190813

默認動作:

丟棄

                               

事件名稱:

TCP_后門_暗影遠控_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到暗影遠控試圖連接遠程服務器。源IP所在的主機可能被植入了暗影遠控。

暗影遠控是一個功能強大遠控,運行后可完全控制被植入機器。

更新時間:

20190813

默認動作:

丟棄

                           

事件名稱:

HTTP_木馬后門_LordExploitKit_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到漏洞利用工具包Lord試圖下載惡意軟件,源IP主機正在瀏覽的網頁很可能被植入了惡意的腳本代碼,被定向到漏洞利用工具包Lord的頁面,導致下載惡意軟件。

Exploit Kit是漏洞利用工具包,預打包了安裝程序、控制面板、惡意代碼以及相當數量的攻擊工具。一般來說,Exploit Kit會包含一系列不同的漏洞利用代碼。攻擊者會向合法的網站注入惡意的腳本或代碼,以重定向到Exploit Kit頁面。受害者瀏覽網頁時即加載Exploit Kit的各種漏洞利用代碼,最終下載其它惡意軟件。

Lord2019年出現的一款Exploit Kit即漏洞利用工具包,主要以Flash漏洞為目標。

更新時間:

20190813

默認動作:

丟棄

                          

事件名稱:

TCP_Redis_認證錯誤

事件級別:

中級事件

安全類型:

安全掃描

事件描述:

檢測到源IPRedis_認證錯誤的行為。

更新時間:

20190813

默認動作:

通過

                            

事件名稱:

TCP_SCADA_Schneider_Electric_Modbus_Serial_Driver基于棧的緩沖區溢出漏洞[CVE-2013-0662]

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Schneider Electric Modbus Serial Driver基于棧的緩沖區溢出漏洞對目的主機進行攻擊的行為。

Schneider Electric Modbus Serial Driver是法國施耐德電氣(Schneider Electric)公司的一套Modbus系列(串行通訊設備類型管理器)的驅動程序。

Schneider Electric Modbus Serial Driver 1.103.2版本中的ModbusDrv.exe文件中存在基于棧的緩沖區溢出漏洞。遠程攻擊者可借助Modbus Application Header中大的buffer-size值利用該漏洞執行任意代碼。

更新時間:

20190813

默認動作:

丟棄

                          

事件名稱:

TCP_SCADA_Schneider_Electric_Interactive_Graphical_SCADA_System緩沖區溢出漏洞[CVE-2013-0657]

事件級別:

中級事件

安全類型:

緩沖溢出

事件描述:

該事件表明源IP主機正試圖通過Schneider緩沖區溢出漏洞攻擊目的IP主機。

Schneider Electric Interactive Graphical SCADA System (IGSS) 10和較早版本中存在基于棧的緩沖區溢出漏洞。遠程攻擊者利用該漏洞執行任意代碼。

更新時間:

20190813

默認動作:

通過

 

 

修改事件

 

事件名稱:

TCP_后門_KG.Rat_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。

IP所在的主機可能被植入了木馬。

KuGou.Rat是一個后門,連接遠程服務器,接受執行黑客指令,可以完全控制被感染機器。試圖獲取敏感,如記錄按鍵信息,獲取焦點窗口的標題。

更新時間:

20190813

默認動作:

丟棄