首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2022-03-22

發布時間 2022-03-22

新增事件


事件名稱:

TCP_木馬_jhProtominer(Protominer)_嘗試連接礦池(PTS)

安全類型:

蠕蟲病毒

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了jhProtMiner木馬。jhProtMiner是挖取Protoshares(PTS,比特股)的高性能挖礦程序,它使用不同的算法,以犧牲挖掘速度為代價,允許每個線程任意使用內存。挖礦程序會占用CPU資源,可能導致受害主機變慢。占用用戶資源進行挖礦。

更新時間:

20220322

 

事件名稱:

HTTPS_木馬_可疑礦池主域名解析請求8

安全類型:

蠕蟲病毒

事件描述:

檢測到可疑挖礦木馬試圖連接域名服務器解析礦池地址。源IP所在的主機可能被植入了挖礦木馬。挖礦木馬嘗試連接礦池,運行后使受害主機變慢,消耗CPU資源。如果為用戶正常訪問礦池主頁,則忽略該事件。

更新時間:

20220322

 

事件名稱:

HTTP_WordPress_WooCommerce插件_任意文件上傳漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖通過利用WordPressWooCommerce插件任意文件上傳漏洞攻擊目的IP主機。WordPress是WordPress軟件基金會的一套使用PHP語言開發的博客平臺,該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WooCommerce是一個的開源電子商務解決方案。

更新時間:

20220322

 

事件名稱:

HTTP_WordPress_blaze_manage_任意文件上傳漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖通過利用WordPress的blaze_manage頁面進行任意文件上傳漏洞攻擊目的IP主機。WordPress是WordPress軟件基金會的一套使用PHP語言開發的博客平臺,該平臺支持在PHP和MySQL的服務器上架設個人博客網站。

更新時間:

20220322

 

事件名稱:

HTTP_安全漏洞_beescms_認證繞過

安全類型:

安全漏洞

事件描述:

BEESCMSV4.0_R_20160525版本在參數傳遞時使用了不安全的方式,使用數組鍵值作為變量值。當變量中有同名的元素時,該函數默認將原有的值給覆蓋掉,造成了變量覆蓋漏洞。導致攻擊者可以通過此漏洞繞過登錄認證,使用管理員身份登錄后臺。

更新時間:

20220322

 

事件名稱:

HTTP_PHP168-cache-adminlogin_logs.php_任意代碼執行

安全類型:

安全漏洞

事件描述:

PHP168整站是PHP領域當前功能最強大的建站系統,代碼全部開源,可極其方便的進行二次開發,所有功能模塊可以自由安裝與刪除,個人用戶完全免費使用。它憑借著自身的強大、穩定、安全、靈活、易用等多方面的優勢,其版本存在任意代碼執行,可能危害到系統安全。

更新時間:

20220322

 

事件名稱:

HTTP_安全漏洞_Apache-Solr_任意文件讀取漏洞[CVE-2020-13941][CNNVD-202008-850]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Apache-Solr8.6.0版本中的任意文件讀取漏洞,竊取敏感信息。ApacheSolr是一個開源的搜索服務,使用Java語言開發。

更新時間:

20220322

 

事件名稱:

TCP_安全漏洞_Jackson_Databind_可疑反序列化類_dbcp[CVE-2020-35491/CVE-2020-36179/CVE-2020-36181/CVE-2020-36183/CVE-2020-36186]

安全類型:

安全漏洞

事件描述:

Jackson是一個能夠將java對象序列化為JSON字符串,也能夠將JSON字符串反序列化為java對象的框架。攻擊者可能利用jackson的可疑反序列化類org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource或org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource攻擊目的IP主機。

更新時間:

20220322

 

事件名稱:

HTTP_代碼執行_SpringSecurityOauth_代碼注入漏洞[CVE-2016-4977][CNNVD-201705-1270]

安全類型:

安全漏洞

事件描述:

檢測到源ip主機正在利用Spring的錯誤頁面構造惡意參數從而導致SpEL代碼執行。SpringSecurityOAuth是為Spring框架提供安全認證支持的一個模塊。

更新時間:

20220322

 

事件名稱:

TCP_木馬_CGMiner_嘗試連接礦池(BTC)

安全類型:

蠕蟲病毒

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了CGMiner木馬。CGMiner是一個用于比特幣的多線程多礦池FPGA和ASIC礦工。挖礦程序會占用CPU資源,可能導致受害主機變慢。占用用戶資源進行挖礦。

更新時間:

20220322

 

事件名稱:

HTTP_安全漏洞_Kibana_遠程文件包含漏洞利用[CVE-2018-17246][CNNVD-201811-285]

安全類型:

安全漏洞

事件描述:

檢測到源ip主機正在利用Kibana的遠程文件包含漏洞上傳文件至服務器任意位置,從而執行任意代碼。Kibana是一個開源的分析與可視化平臺,設計出來用于和Elasticsearch一起使用的,可以用kibana搜索、查看存放在Elasticsearch中的數據。

更新時間:

20220322


修改事件

 

事件名稱:

TCP_SpringOAuth2_SPEL_遠程代碼執行漏洞[CVE-2018-1260][CNNVD-201805-402]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖利用Spring框架OAuth2模塊遠程代碼執行漏洞攻擊目的IP主機。攻擊者可以向授權服務器發起授權請求,當轉發至授權審批終端(ApprovalEndpoint)時,會導致遠程代碼執行漏洞的攻擊。漏洞存在的版本:SpringSecurityOAuth2.3-2.3.2、2.2-2.2.1、2.1-2.1.1、2.0-2.0.14及早期不支持版本攻擊成功,可遠程執行任意代碼。

更新時間:

20220322


事件名稱:

HTTP_JACKSON_Shiro_遠程代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用JACKSON-Shiro遠程代碼執行漏洞對目的IP主機進行攻擊的行為,試圖通過傳入精心構造的惡意代碼或命令來入侵目的IP主機。

更新時間:

20220322

 

事件名稱:

HTTP_Nexus_Repository_Manager_3遠程代碼執行漏洞[CVE-2020-10204][CNNVD-202004-036]

安全類型:

安全漏洞

事件描述:

檢測到源IP利用NexusRepositoryManager3通過admin權限構造惡意json執行代碼。NexusRepositoryManager3是一個Java服務器應用程序。

更新時間:

20220322

 

事件名稱:

HTTP_安全漏洞_mini_httpd_任意文件讀取漏洞[CVE-2018-18778][CNNVD-201810-1382]

安全類型:

安全漏洞

事件描述:

Mini_httpd是一個微型的Http服務器,在占用系統資源較小的情況下可以保持一定程度的性能(約為Apache的90%),因此廣泛被各類IOT(路由器,交換器,攝像頭等)作為嵌入式服務器。而包括華為,zyxel,??低?,樹莓派等在內的廠商的旗下設備都曾采用Mini_httpd組件。ACMEmini_httpd<1.30版本存在一個任意文件讀取漏洞,該漏洞源于在mini_httpd開啟虛擬主機模式的情況下,用戶請求http://HOST/FILE將會訪問到當前目錄下的HOST/FILE文件,而當HOST為空、FILE=etc/passwd的時候,上述語句結果為/etc/passwd??勺鳛榻^對路徑,讀取到了/etc/passwd,造成任意文件讀取漏洞。

更新時間:

20220322

 

事件名稱:

TCP_后門_DDoS.MrBlack_連接

安全類型:

其他事件

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬MrBlack。MrBlack是一個跨平臺的僵尸網絡,支持Windows、Linux。主要功能是對指定目的主機發起DDoS攻擊。還可以下載其他病毒到被植入機器。對指定目的主機發起DDoS攻擊。

更新時間:

20220322

 

事件名稱:

HTTP_安全漏洞_ElasticSearch_命令執行漏洞[CVE-2014-3120]

安全類型:

安全漏洞

事件描述:

檢測到試圖通過利用ElasticSearch遠程命令執行漏洞進行攻擊的行為,攻擊者可以利用該漏洞執行任意命令。ElasticSearch是一個基于Lucene的搜索服務器,基于Java開發。ElasticSearch支持傳入動態腳本(MVEL)來執行一些復雜的操作,而MVEL可執行Java代碼,攻擊者利用該漏洞可以在ElasticSearch服務器中執行任意Java代碼或命令。

更新時間:

20220322

 

事件名稱:

TCP_僵尸網絡_Linux.AESDDOS(Dofloo)_連接C2

安全類型:

其他事件

事件描述:

Dofloo(AESDDoS)僵尸網絡從被感染系統竊取信息,包括操作系統版本,CPU型號、速度和內存等信息上傳到C2服務器,并根據返回的命令進行AES解密,執行Cmdshell或者發起各種類型的DDoS攻擊,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CCFlood。執行Cmdshell命令或者發起DDOS攻擊。

更新時間:

20220322

 

事件名稱:

TCP_安全漏洞_Spring-Data-REST-PATCH請求_遠程執行代碼[CVE-2017-8046][CNNVD-201704-1106]

安全類型:

安全漏洞

事件描述:

該漏洞為攻擊者通過SpringDataRest支持的PATCH方法,構造惡意的Json格式數據發送到服務端,導致服務端在解析數據時會執行任意Java代碼、解析SpEL表達式,從而實現遠程任意代碼執行。

更新時間:

20220322

上一篇 下一篇