首頁 > 技術支持 > 升級公告 > 每周升級公告

2020-03-10

發布時間 2020-03-11

新增事件


事件名稱:

HTTP_JACKSON-databind_遠程代碼執行

安全類型:

木馬后門

事件描述:

CMS攻擊檢測到源IP主機正在利用HTTP_JACKSON-databind_遠程代碼執行[CVE-2020-9548]攻擊目的IP主機的行為

更新時間:

20200310







事件名稱:

HTTP_可疑.NET反序列化數據

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在對可能存在.NET反序列化漏洞的頁面發送可疑反序列化數據

攻擊者可提交精心構造的反序列化數據來利用此漏洞。成功利用此漏洞的攻擊者可執行任意代碼。

更新時間:

20200310









事件名稱:

HTTP_后門_CharmingKitten.Backdoor_試圖連接

安全類型:

木馬后門

事件描述:

檢測到 CharmingKitten.Backdoor 試圖連接遠程服務器,IP所在的主機可能被植入了CharmingKitten.Backdoor。

CharmingKitten.BackdoorCharming Kitten組織的一個后門,它會竊取用戶的計算機信息,如操作系統信息、ip地址等,并且還會從遠程服務器下載文件執行。

更新時間:

20200310










事件名稱:

UDP_僵尸網絡_Mozi.P2PBotnet_連接

安全類型:

木馬后門

事件描述:

檢測到僵尸網絡Mozi試圖和Peer通信。因為是基于P2P協議,源IP和目的IP所在的主機可能都被植入了僵尸網絡Mozi。

Mozi是一個基于P2P協議的僵尸網絡,主要支持的功能為:DDoS攻擊、收集Bot信息、執行指定URLpayload、從指定的URL更新樣本、執行系統或自定義命令。

更新時間:

20200310










修改事件


事件名稱:

HTTP_僵尸網絡_MiraiXMiner_連接

安全類型:

木馬后門

事件描述:

檢測到僵尸網絡MiraiXMiner試圖連接遠程服務器。源IP所在的主機可能被植入了MiraiXMiner。

MiraiXMiner是一個仍然活躍著的僵尸網絡,融合了多種已知病毒家族,包括Mirai、MyKings、遠控、挖礦等。利用永恒之藍漏洞、閉路電視物聯網設備漏洞、MSSQL漏洞、RDP爆破和Telnet爆破等方式傳播自身。

更新時間:

20200310











事件名稱:

TCP_木馬后門_Win32/Linux_ircBot_連接

安全類型:

木馬后門

事件描述:

檢測到ircBot試圖連接遠程服務器。源IP所在的主機可能被植入了ircBot。

ircBot是基于irc協議的僵尸網絡,主要功能是對指定目標主機發起DDoS攻擊。還可以下載其他病毒到被植入機器。

更新時間:

20200310









事件名稱:

TCP_Windows_系統默認共享連接

安全類型:

安全審計

事件描述:

檢測到源IP對目的主機進行默認連接的行為.。

Windows啟動時都會默認打開admin$ ipc$ 和每個盤符的共享,攻擊者通常會利用共享漏洞入侵電腦主機。

報警該事件說明有客戶端在遠程連接該服務器,并且有修改服務端文件的行為,如果服務端環境本身就有使用smb相關功能的業務,可以忽略該事件。如果想要禁止C$、D$、E$一類的共享,可以單擊“開始→運行”命令,在運行窗口鍵入“Regedit”后回車,打開注冊表編輯器。依次展開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ]分支,將右側窗口中的DOWRD值“AutoShareServer”設置為“0”即可。  如果要禁止ADMIN$共享,可以在同樣的分支下,將右側窗口中的DOWRD值“AutoShareWKs 設置為“0”即可。  如果要禁止IPC$共享,可以在注冊表編輯器中依次展開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]分支,將右側窗口中的DOWRD值“restrictanonymous”設置值為“1”即可。

更新時間:

20200310





















事件名稱:

HTTP_Java反序列化_POST方式_ysoserial惡意數據

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用HTTP_Java反序列化_POST方式_ysoserial惡意數據對目的主機進行攻擊的行為。

若訪問的頁面存在漏洞,攻擊者可以發送精心構造的 Java 序列化對象,遠程執行任意代碼或命令。

更新時間:

20200310













上一篇 下一篇