首頁 > 技術支持 > 升級公告 > 每周升級公告

2020-06-30

發布時間 2020-06-30

新增事件


事件名稱:

HTTP_注入攻擊_Apache_SkyWalking_GraphQL接口_SQL注入漏洞[CVE-2020-9483]

安全類型:

注入攻擊

事件描述:

檢測到源IP主機正在試圖通過Apache_SkyWalking GraphQL接口的SQL注入漏洞攻擊目的IP主機的行為。

Apache SkyWalking是一款應用性能監控(APM)工具,對微服務、云原生和容器化應用提供自動化、高性能的監控方案。其官方網站顯示,大量的國內互聯網、銀行、民航等領域的公司在使用此工具。遠程攻擊者可以通過Apache SkyWalking默認開放的未授權GraphQL接口構造惡意請求包進行注入,成功利用此漏洞可造成敏感數據泄漏。

更新時間:

20200630














事件名稱:

TCP_安全漏洞_ApacheSolr_遠程代碼執行漏洞[CVE-2019-12409]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Apache_Solr_遠程代碼執行漏洞攻擊目的IP主機的行為,通過Mlet加載一個遠端惡意MBeans,來實現任意代碼的執行。SolrApache的頂級開源項目,該項目是使用Java開發的基于lucene的全文本搜索服務器。由于默認配置文件solr.in.sh中的ENABLE_REMOTE_JMX_OPTS配置不當,會啟用JMX監視并將其暴露在RMI_PORT上(默認值= 18983)。攻擊者無需進行任何身份驗證,就能夠訪問JMX,并且可以上傳惡意代碼在Solr服務器上執行。

更新時間:

20200630












事件名稱:

DNS_后門_CobaltStrike_DnsBeacon_連接

安全類型:

木馬后門

事件描述:

檢測到Cobalt Strikedns beacon試圖連接遠程服務器。源IP所在的主機可能被植入了dns beacon。

Cobalt Strike是著名的滲透測試工具,它有一個dns beacon后門,支持通過dns協議傳輸數據。

更新時間:

20200630










事件名稱:

TCP_安全漏洞_Microsoft_SMBv1_遠程代碼執行漏洞[CVE-2020-1301]

安全類型:

緩沖溢出

事件描述:

檢測到源IP主機可能正在對目的主機進行CVE-2020-1301漏洞利用的行為。

更新時間:

20200630







事件名稱:

TCP_后門_Gh0st.B3165_連接

安全類型:

木馬后門

事件描述:

檢測到后門試圖連接遠程服務器。源IP所在的主機可能被植入了Gh0st.B3165。

Gh0st.B3165是利用一個根據Gh0st遠控的源碼修改而來的后門。運行后可完全控制被植入機器。

更新時間:

20200630










修改事件


事件名稱:

HTTP_類菜刀流量_響應

安全類型:

木馬后門

事件描述:

中國菜刀是中國黑客圈內使用非常廣泛的一款Webshell管理工具。中國菜刀用途十分廣泛,支持多種語言,小巧實用,具有文件管理(有足夠的權限時候可以管理整個磁盤/文件系統),數據庫管理,虛擬終端等功能。對于這類管理工具,如果沒有大量的修改服務端腳本代碼,其返回流量都會有一些常見的特征,本條規則將常見的共同特征提取出來進行防御性報警。由于此事件為較為寬泛的通用特征,可能存在誤報,請參考特征性質判斷字段進行判斷。

更新時間:

20200630












事件名稱:

TCP_通用_Java反序列化_ysoserial惡意數據利用

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在通過TCP發送ysoserial生成的惡意JAVA反序列化數據對目的主機進行攻擊。

若訪問的應用存在漏洞JAVA反序列化漏洞,攻擊者可以發送精心構造的Java序列化對象,遠程執行任意代碼或命令。

更新時間:

20200630










上一篇 下一篇