首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2022-03-08

發布時間 2022-03-08

新增事件

 

事件名稱:

HTTP_通用_嘗試利用任意文件讀取漏洞

安全類型:

可疑行為

事件描述:

由于一些網站的業務需要,往往需要提供文件讀取或下載的一個模塊,但如果沒有對讀取或下載做一個白名單或者權限限制,可能導致惡意攻擊者讀取下載一些敏感信息(etc/passwd等),對服務器做下一步的進攻與威脅。此事件可以通用性地檢測嘗試利用任意文件讀取漏洞的行為。

更新時間:

20220308

 

事件名稱:

TCP_可疑行為_Linux命令執行回顯

安全類型:

安全漏洞

事件描述:

檢測到源IP主機出現了某些Linux命令(如w、top、uptime等)執行的回顯流量,包含當前系統時刻、運行時間、用戶總連接數、平均負載等信息

更新時間:

20220308

 

事件名稱:

HTTP_安全漏洞_BEESCMS_模板修改getshell漏洞

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用BEESCMS的后臺管理模板模塊來上傳getshell。BEESCMS企業網站管理系統是一款PHP+MYSQL的多語言系統,內容模塊易擴展,模板風格多樣化,模板制作簡單功能強大,專業SEO優化,后臺操作方便,完全可以滿足企業網站、外貿網站、事業單位、教育機構、個人網站使用。

更新時間:

20220308

 

事件名稱:

HTTP_安全漏洞_若依CMS_遠程命令執行漏洞

安全類型:

安全漏洞

事件描述:

若依后臺管理系統使用了snakeyaml的jar包,snakeyaml是用來解析yaml的格式,可用于Java對象的序列化、反序列化。由于若依后臺計劃任務處,對于傳入的"調用目標字符串"沒有任何校驗,導致攻擊者可以構造payload遠程調用jar包,從而執行任意命令。

更新時間:

20220308

 

事件名稱:

HTTP_安全漏洞_通達OA_SQL注入漏洞

安全類型:

注入攻擊

事件描述:

檢測到源IP設備正在嘗試使用SQL注入漏洞攻擊目的IP設備。SQL注入是比較常見的網絡攻擊方式之一,其原因是由于未對輸入的參數內容作過濾校驗,導致攻擊者拼接惡意SQL語句,通過SQL語句,實現無賬號登錄,甚至篡改數據庫、拿到目的設備權限。

更新時間:

20220308

 

事件名稱:

HTTP_安全漏洞_DLink_DIR8xx系列路由器_未授權命令注入[CVE-2021-45382][CNNVD-202202-1411]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖通過CVE-2021-45382漏洞攻擊目的IP主機。DIR-810L、DIR-820L/W、DIR-826L、DIR-830L、DIR-836L系列是中國友訊D-Link公司的路由器,已經處于服務終止區(EndofServiceLife)。它們固件里的DDNS函數存在命令注入漏洞,攻擊者可借此遠程執行惡意命令。

更新時間:

20220308

 

事件名稱:

HTTP_安全漏洞_PHP_Nette框架Callback_未授權遠程命令注入[CVE-2020-15227][CNNVD-202010-011]

安全類型:

安全漏洞

事件描述:

Nette是一款流行的PHPWeb快速開發框架,基于組件的事件驅動。其設計理念為:對開發者盡可能的友好并可用,Nette框架可以幫助您輕松建立好網站。Nette存在命令注入漏洞,該漏洞源于未正確過濾url中的特殊參數。攻擊者可利用該漏洞未授權遠程執行代碼。

更新時間:

20220308

 

事件名稱:

TCP_可疑行為_ifconfig_遠程命令執行

安全類型:

可疑行為

事件描述:

流量中檢測到執行了敏感系統命令的回顯信息,說明主機有可能已經被入侵,且攻擊者具有執行系統命令的權限。

更新時間:

20220308

 

 

修改事件

 

事件名稱:

HTTP_通用_目錄穿越漏洞[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在嘗試對目的IP主機進行目錄穿越漏洞攻擊嘗試的行為。目錄穿越漏洞能使攻擊者繞過Web服務器的訪問限制,對web根目錄以外的文件夾,任意地讀取甚至寫入文件數據。此規則是一條通用規則,其他漏洞(甚至一些0day漏洞)攻擊的payload也有可能觸發此事件報警。由于正常業務中一般不會產生此事件特征的流量,所以需要重點關注。允許遠程攻擊者訪問敏感文件。

更新時間:

20220308

上一篇 下一篇