首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2021-05-11

發布時間 2021-05-12

新增事件


事件名稱:

TCP_可疑行為_tracert命令_遠程命令執行

安全類型:

可疑行為

事件描述:

檢測到主機正在向源ip返回體中包含系統命令tracert的執行回顯,可能是黑客攻擊導致系統執行命令的返回,可能主機已經失陷

更新時間:

20210511


事件名稱:

TCP_后門_Rotajakiro.Oceanlotus(海蓮花)_連接

安全類型:

木馬后門

事件描述:

檢測到后門試圖連接遠程服務器。源IP所在的主機可能被植入了后門Rotajakiro。Rotajakiro疑似是APT組織海蓮花所的使用后門,功能非常強大,運行后可以完全控制被感染機器。

更新時間:

20210511


事件名稱:

HTTP_安全漏洞_Opentsdb_遠程代碼執行漏洞[CVE-2020-35476][CNNVD-202012-1211]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Opentsdb遠程命令執行漏洞對目的主機進行攻擊的行為。OpenTSDB(OpenTimeSeriesDataBase)是基于HBASE構建的分布式、可擴展的時間序列數據庫。OpenTSDB可以獲取電力行業、化工行業、物聯網行業等各類型實時監測、檢查與分析設備所采集、產生的時間序列數據,并提供存儲、索引以及圖形化服務,使其易于訪問和可視化。OpenTSDB2.4.0及之前版本中存在遠程代碼執行漏洞,攻擊者可通過構造惡意請求實現遠程代碼執行。

更新時間:

20210511


事件名稱:

HTTP_可疑行為_copy_命令執行回顯

安全類型:

安全漏洞

事件描述:

當前主機正在返回copy命令執行結果,copy是主機復制文件的命令,攻擊者常用命令,如果返回體里面出現相關格式的內容,則可能主機已被攻陷

更新時間:

20210511


事件名稱:

HTTP_天融信數據防泄漏系統_越權修改管理員漏洞

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用天融信數據防泄漏系統的越權漏洞進行管理員密碼修改;天融信數據防泄漏系統(簡稱:TopDLP)是以深度內容識別技術為核心,在數據存儲、傳輸和使用過程中,發現并識別敏感數據隱患,確保敏感數據合法使用,防止敏感數據泄漏的數據安全保護系統。

更新時間:

20210511


事件名稱:

HTTP_APT攻擊_Bitter(蔓靈花)_Win32.Downloader_連接C2

安全類型:

木馬后門

事件描述:

蔓靈花(BITTER)是疑似具有南亞背景的APT組織,因其早期特馬通信的數據包頭部以“BITTER”作為標識而得名。該組織主要針對周邊國家地區的政府,軍工業,電力,核等單位進行攻擊,以竊取敏感資料為目的,具有強烈的政治背景。該事件是一個.NET平臺的Downloader,獲取當前計算機用戶名、系統版本、系統位數、MAC地址等信息,將獲取的信息拼接上傳到C2服務器,并從C2服務器下載文件執行。

更新時間:

20210511


事件名稱:

HTTP_可疑行為_everything搜索頁面被訪問

安全類型:

CGI攻擊

事件描述:

Everything是Windows上一款搜索引擎,由于配置中開啟了ETP/FTP和HTTP服務,并未設置賬號密碼,導致可以訪問服務器的文件。如果攻擊ip是授權ip,則無需關注。

更新時間:

20210511


事件名稱:

TCP_可疑行為_nslookup命令_遠程命令執行

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在對目的IP執行nslookup命令,nslookup用于查詢DNS的記錄,查詢域名解析是否正常,在網絡故障時用來診斷網絡問題,也可被攻擊者用于探測機器是否可以聯通外網。

更新時間:

20210511


修改事件


事件名稱:

DNS_木馬_可疑礦池域名解析請求

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了挖礦木馬。挖礦木馬嘗試連接礦池,受害主機變慢。

更新時間:

20210511


事件名稱:

TCP_冰蝎_php_webshell_上傳

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正向目的主機上傳冰蝎phpwebwhell木馬,攻擊者可遠程控制被上傳webshell主機執行任意操作。

更新時間:

20210511


事件名稱:

HTTP_Citrix_ADC_遠程代碼執行漏洞[CVE-2020-8193][CNNVD-202007-367]

安全類型:

安全漏洞

事件描述:

檢測到源IP正在利用Citrix_ADC的權限繞過漏洞,通過創建session,進而提權進行代碼執行攻擊,最后導致主機失陷,被攻擊者接管。

更新時間:

20210511


事件名稱:

HTTP_安全漏洞_泛微OA8_前臺SQL執行

安全類型:

注入攻擊

事件描述:

泛微OA是國內公司發布的一款移動辦公平臺。檢測到攻擊者正在利用泛微OA8前臺的SQL執行漏洞,通過此漏洞可查詢出后臺密碼等數據庫敏感數據。

更新時間:

20210511


事件名稱:

TCP_后門_Win32.Salgorea(海蓮花)_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了后門Salgorea。Salgorea是海蓮花所使用的強大后門,主要通過郵件傳播。Salgorea運行后,會嘗試獲取敏感信息,也可執行C&C返回指令,去下載其他后門。竊取敏感信息。

更新時間:

20210511


事件名稱:

TCP_僵尸網絡_IoT.Moobot_連接

安全類型:

木馬后門

事件描述:

檢測到Moobot試圖連接C&C服務器。源IP主機可能被植入了僵尸網絡Moobot。Moobot是一個IoT僵尸網絡,主要功能是對指定目標發起DDoS攻擊,通過各類漏洞傳播自身。

更新時間:

20210511


事件名稱:

HTTP_安全漏洞_億郵電子郵件系統_遠程命令執行

安全類型:

安全漏洞

事件描述:

檢測到源ip主機正在利用億郵電子郵件系統使用POST方法在目的ip主機執行遠程代碼執行操作,億郵電子郵件系統是由北京億中郵信息技術有限公司(以下簡稱億郵公司)開發的一款面向中大型集團企業、政府、高校用戶的國產郵件系統。億郵電子郵件系統采用了自主研發MTA引擎、分布式文件系統存儲方式、多對列機制、ECS存儲子系統、Cache系統等多項核心技術,提供了豐富的郵件功能。

更新時間:

20210511


上一篇 下一篇