首頁 > 技術支持 > 升級公告 > 每周升級公告

2019-09-24

發布時間 2019-09-24

新增事件


事件名稱:

HTTP_泛微OA9.0_遠程代碼執行漏洞

事件級別:

高級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用HTTP_泛微OA9.0_遠程代碼執行漏洞攻擊目的IP主機的行為。

更新時間:

20190924

默認動作:

丟棄










事件名稱:

TCP_MS_遠程桌面Rdp無身份驗證登陸_連接

事件級別:

中級事件

安全類型:

安全審計

事件描述:

檢測到源IP地址的在嘗試以較低安全性或無密碼形式連接目的IP主機的遠程桌面。源IP主機可能存在惡意掃描或攻擊行為。

更新時間:

20190924

默認動作:

通過











事件名稱:

HTTP_fastjson-1.2.60_遠程代碼執行

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

CMS攻擊檢測到源IP主機正在利用HTTP_fastjson-1.2.60_遠程代碼執行攻擊目的IP主機的行為。

更新時間:

20190924

默認動作:

丟棄











事件名稱:

HTTP_fastjson-1.2.61_遠程代碼執行

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

CMS攻擊檢測到源IP主機正在利用HTTP_fastjson-1.2.61_遠程代碼執行攻擊目的IP主機的行為。

更新時間:

20190924

默認動作:

丟棄












事件名稱:

HTTP_websphere_任意文件讀取

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

CMS攻擊檢測到源IP主機正在利用HTTP_websphere_任意文件讀取攻擊目的IP主機的行為。

更新時間:

20190924

默認動作:

丟棄









修改事件


事件名稱:

HTTP_Malware_yty.Downloader_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。yty.downloader是一個下載程序,負責檢索包含附加功能的模塊/插件。

yty是一種新的模塊化惡意軟件框架,主要關注文件收集,截圖和鍵盤記錄。

更新時間:

20190924

默認動作:

丟棄


事件名稱:

TCP_后門_Gh0st.DHLAR_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到后門試圖連接遠程服務器。源IP所在的主機可能被植入了后門DHLAR。

Gh0st.DHLAR是利用一個根據Gh0st遠控的源碼修改而來的后門,運行后可以完全控制被植入機器。

更新時間:

20190924

默認動作:

丟棄


事件名稱:

TCP_后門_VBS.H.Worm.Rat_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬。

H-worm是一個基于VBS語言的后門,功能非常強大。H-worm借鑒了njRAT的開源代碼,服務端為使用VBS腳本編寫的蠕蟲病毒,適用于Windows全系操作系統并且使用了比較先進的User-Agent傳遞數據的方式,主要傳播方式有三種:電子郵件附件、惡意鏈接和被感染的U盤傳播,蠕蟲式的傳播機制會形成大量的感染。因為其簡潔有效的遠控功能、非PE腳本易于免殺、便于修改等特性,一直被黑產所青睞而活躍至今。

更新時間:

20190924

默認動作:

丟棄


事件名稱:

TCP_后門_Win32.OceanLotus(海蓮花)_連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了后門OceanLotus。

OceanLotus是一個功能強大的后門,主要通過郵件傳播。OceanLotus運行后,會嘗試獲取敏感信息,也可執行C&C返回指令,去下載其他后門。

更新時間:

20190924

默認動作:

丟棄


事件名稱:

HTTP_Joomla_遠程代碼執行漏洞[CVE-2015-8562]

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

檢測到試圖利用Joomla遠程代碼執行漏洞進行攻擊的行為

Joomla!是一套在國外相當知名的內容管理系統。Joomla!是使用PHP語言加上MySQL數據庫所開發的軟件系統,可以在Linux、 Windows、MacOSX等各種不同的平臺上執行。

Joomla!對于存儲在數據庫中的字符串沒有進行相應的校驗,攻擊者可以將user-agentx-forwarded-for的內容寫入session中,之后將session內容寫入數據庫,并運用四字節字符截斷,使得寫入的session可以被成功反序列化。

更新時間:

20190924

默認動作:

丟棄


事件名稱:

HTTP_木馬后門_webshell_china_chopper_20160620_php控制命令

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到源IP主機正在使用中國菜刀china chopper 160620版本連接木馬后門的行為。

中國菜刀china chopper是常用的一款webshell連接工具,黑客經常使用這款工具通過遠程系統的木馬后門控制遠程系統。

更新時間:

20190924

默認動作:

丟棄


上一篇 下一篇