首頁 > 技術支持 > 升級公告 > 每周升級公告

2019-10-22

發布時間 2019-10-22

新增事件


事件名稱:

HTTP_木馬后門_webshell_Jscript上傳后門程序

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到源IP地址主機正在向目的IP地址主機傳送可疑的webshell文件。

webshellweb入侵的腳本攻擊工具。簡單說,webshell就是一個用aspphp等編寫的木馬后門,攻擊者在入侵了一個網站后,常常將這些aspphp等木馬后門文件放置在網站服務器的web目錄中,與正常的網頁文件混在一起。然后攻擊者就可以用web的方式,通過該木馬后門控制網站服務器,包括上傳下載文件、查看數據庫、執行任意程序命令等。webshell可以穿越防火墻,由于與被控制的服務器或遠程主機交換的數據都是通過80端口傳遞的,因此不會被防火墻攔截。并且使用webshell一般不會在系統日志中留下記錄,只會在網站的web日志中留下一些數據提交記錄,管理員較難看出入侵痕跡。

更新時間:

20191022

默認動作:

丟會話

















事件名稱:

HTTP_后門_Win32.SaefkoAgentRAT _連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。

SaefkoAgent 是一個遠控程序,使用C#語言編寫,運行后可以完全控制被感染機器,包括上傳竊密信息,屏幕截圖,下載文件執行等功能。

更新時間:

20191022

默認動作:

丟會話











事件名稱:

TCP_mysql_authbypass

事件級別:

中級事件

安全類型:

網絡數據庫攻擊

事件描述:

當連接MariaDB/MySQL時,輸入的密碼會與期望的正確密碼比較,由于不正確的處理,會導致即便是memcmp()返回一個非零值,也會使MySQL認為兩個密碼是相同的。 也就是說只要知道用戶名,不斷嘗試就能夠直接登入SQL數據庫。按照公告說法大約256次就能夠蒙對一次。而且漏洞利用工具已經出現。

更新時間:

20191022

默認動作:

丟會話












事件名稱:

HTTP_Tunna隧道連接

事件級別:

中級事件

安全類型:

木馬后門

事件描述:

Tunna:一款神奇的工具,它可以通過HTTP封裝隧道通信任何TCP,以及用于繞過防火墻環境中的網絡限制。

更新時間:

20191022

默認動作:

丟會話












修改事件


事件名稱:

UDP_Microsoft_Windows_DNS解析遠程代碼執行漏洞[MS11-030][CVE-2011-0657]

事件級別:

中級事件

安全類型:

安全漏洞

事件描述:

檢測到源IP主機試圖通過MS11-030漏洞攻擊目的IP主機。一旦攻擊成功,攻擊者可以用NetworkService運行任意代碼。

Microsoft Windows在實現上存在DNS解析遠程代碼執行漏洞。

DNS客戶端服務處理特制的LLMNR請求時存在一個遠程代碼執行漏洞,成功利用此漏洞的攻擊者可以用NetworkService運行任意代碼。攻擊者可以安裝程序;查看、更改或刪除數據;或以完全用戶權限創建新賬戶。

更新時間:

20191022

默認動作:

丟會話
















刪除事件


1、HTTP_fastjson-blacklist1

2、HTTP_fastjson-blacklist2




上一篇 下一篇