首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2022-04-26

發布時間 2022-04-26
新增事件

 

事件名稱:

HTTP_Linux命令注入攻擊

安全類型:

注入攻擊

事件描述:

命令注入攻擊,是指這樣一種攻擊手段,黑客通過把系統命令加入到web請求頁面頭部信息中,一個惡意黑客以利用這種攻擊方法來非法獲取數據或者網絡、系統資源

更新時間:

20220426

 

事件名稱:

TCP_可疑行為_ping命令_遠程命令執行回顯

安全類型:

可疑行為

事件描述:

發現有執行ping系統命令的回顯頁面,應用程序的某些功能需要調用可以執行系統命令的函數,如果這些函數或者函數的參數被用戶控制,就有可能通過命令連接符將惡意命令拼接到正常的函數中,從而執行系統命令。屬于高危漏洞,如果web使用的root權限,則攻擊者可以執行任意命令。

更新時間:

20220426

 

事件名稱:

TCP_可疑行為_dir命令_遠程命令執行

安全類型:

CGI攻擊

事件描述:

發現有執行dir系統命令的回顯頁面

更新時間:

20220426

 

事件名稱:

TCP_可疑行為_netstat_遠程命令執行

安全類型:

CGI攻擊

事件描述:

流量中檢測到執行了敏感系統命令的回顯信息,說明主機有可能已經被入侵,且攻擊者具有執行系統命令的權限。

更新時間:

20220426

 

事件名稱:

TCP_可疑行為_ps命令_遠程命令執行

安全類型:

安全漏洞

事件描述:

流量中檢測到執行了敏感系統命令的回顯信息,說明主機有可能已經被入侵,且攻擊者具有執行系統命令的權限。

更新時間:

20220426

 

事件名稱:

TCP_可疑行為_NPS代理工具_內網穿透利用

安全類型:

可疑行為

事件描述:

檢測到NPS代理工具連接服務器,源地址主機正在使用NPS代理工具。nps是一款輕量級、高性能、功能強大的內網穿透代理服務器。目前支持tcp、udp流量轉發,可支持任何tcp、udp上層協議(訪問內網網站、本地支付接口調試、ssh訪問、遠程桌面,內網dns解析等等……),此外還支持內網http代理、內網socks5代理、p2p等,并帶有功能強大的web管理端。因此,攻擊者常利用該工具進行內網滲透。

更新時間:

20220426

 

事件名稱:

TCP_可疑行為_arp命令_遠程命令執行

安全類型:

CGI攻擊

事件描述:

發現存在windows環境下執行arp-a系統命令的回顯信息。

更新時間:

20220426

 

事件名稱:

木馬后門

安全類型:

欺騙劫持

事件描述:

檢測到僵尸網絡Enemybot試圖連接C&C服務器。源IP所在的主機可能被植入了Enemybot。Enemybot是結合并修改Mirai和Gafgyt源代碼的產物,疑似出自名為Keksec(又名KekSecurity、Necro或者FreakOut)的攻擊團伙之手。Enemybot主要攻擊SeowonIntech、D-Link和iRZ路由器

更新時間:

20220426

 

事件名稱:

HTTP_木馬后門_Webshell_AntSword-2.1.x_木馬連接

安全類型:

木馬后門

事件描述:

AntSword是一款集編碼繞過,分塊傳輸等眾多繞過方式為一體的網站后門管理器。AntSwordv2.1.14(最新版)新增CMDLINUXShell類型基于命令執行的一句話類型,僅支持Linux環境.

更新時間:

20220426

 

事件名稱:

HTTP_代碼執行_phpMoAdmin_遠程代碼執行漏洞

安全類型:

木馬后門

事件描述:

檢測到源IP主機正向目的主機上的phpMoAdmin執行惡意代碼。使用system,exec,shell_exec,passthru,pcntl_exec,popen,proc_open函數對傳入的“find”參數進行執行,達到控制服務器的目的。phpMoAdmin是一個用PHP開發的在線MongoDB管理工具,可用于創建、刪除和修改數據庫和索引,提供視圖和數據搜索工具,提供數據庫啟動時間和內存的統計,支持JSON格式數據的導入導出。

更新時間:

20220426

 

事件名稱:

HTTP_安全漏洞_TendaM3_遠程命令注入漏洞[CVE-2022-26290][CNNVD-202203-2102]

安全類型:

安全漏洞

事件描述:

TendaM3是中國騰達(Tenda)公司的一款門禁控制器。TendaM31.101.0.0.12(4856)版本存在安全漏洞,該漏洞源于通過組件/goform/WriteFacMac的命令注入漏洞。

更新時間:

20220426

 

事件名稱:

HTTP_安全漏洞_Adobe-ColdFusion_反序列化_代碼執行[CVE-2017-3066][CNNVD-201704-1418]

安全類型:

安全漏洞

事件描述:

AdobeColdFusion是美國Adobe公司的一款動態Web服務器產品,其運行的CFML(ColdFusionMarkupLanguage)是針對Web應用的一種程序設計語言。AdobeColdFusion中存在java反序列化漏洞。攻擊者可利用該漏洞在受影響應用程序的上下文中執行任意代碼或造成拒絕服務。以下版本受到影響:AdobeColdFusion(2016release)Update3及之前的版本,ColdFusion11Update11及之前的版本,ColdFusion10Update22及之前的版本。

更新時間:

20220426

 

事件名稱:

HTTP_安全漏洞_Oracle-Business_XML外部實體注入[CVE-2019-2616][CNNVD-201904-746]

安全類型:

注入攻擊

事件描述:

OracleFusionMiddleware(Oracle融合中間件)是美國甲骨文(Oracle)公司的一套面向企業和云環境的業務創新平臺。該平臺提供了中間件、軟件集合等功能。BIPublisher(前稱XMLPublisher)是其中的一個報表組件。OracleFusionMiddleware中的BIPublisher組件11.1.1.9.0版本、12.2.1.3.0版本和12.2.1.4.0版本的BIPublisherSecurity子組件存在安全漏洞。攻擊者可利用該漏洞未授權讀取、更新、插入或刪除數據,影響數據的保密性和完整性。

更新時間:

20220426

 

事件名稱:

HTTP_安全漏洞_Apache-Airflow-1.10.10_遠程代碼執行[CVE-2020-11978][CNNVD-202007-1187]

安全類型:

安全漏洞

事件描述:

ApacheAirflow是美國阿帕奇(Apache)軟件基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。ApacheAirflow1.10.10及之前版本中的exampleDAGs存在操作系統命令注入漏洞。攻擊者可利用該漏洞運行任意命令。

更新時間:

20220426


事件名稱:

HTTP_安全漏洞_ArticaTech-Artica-Proxy_命令注入[CVE-2020-17505][CNNVD-202008-677]

安全類型:

安全漏洞

事件描述:

ArticaTechArticaProxy是法國ArticaTech公司的一款開源的Artica代理解決方案。ArticaWebProxy4.30.000000版本cyrus.php文件的service-cmds參數存在操作系統命令注入漏洞。遠程攻擊者可通過service_cmds_peform利用該漏洞以root權限注入并執行命令。

更新時間:

20220426


事件名稱:

HTTP_安全漏洞_ArticaTech-Artica-Proxy_SQL注入[CVE-2020-17506][CNNVD-202008-679]

安全類型:

注入攻擊

事件描述:

ArticaTechArticaProxy是法國ArticaTech公司的一款開源的Artica代理解決方案。ArticaWebProxy4.30.000000版本容易受到fw.login.php中的api鍵參數的SQL注入的攻擊。該漏洞可以繞過Artica,通過SQL注入漏洞獲得管理員權限。

更新時間:

20220426


事件名稱:

HTTP_安全漏洞_Cisco-HyperFlex-HX-storfs-asup_遠程代碼執行

安全類型:

安全漏洞

事件描述:

CiscoHyperFlexHX數據平臺基于Web的管理界面中的漏洞可能允許未經身份驗證的遠程攻擊者對受影響的設備執行命令注入攻擊。此漏洞是由于對用戶提供的輸入的驗證不足而引起的。攻擊者可以通過向基于Web的管理界面發送精心設計的請求來利用此漏洞。成功利用該漏洞可能使攻擊者以tomcat8用戶的身份在受影響的設備上執行任意命令。

更新時間:

20220426


事件名稱:

HTTP_安全漏洞_Advantech-R-SeeNet-device_跨站腳本[CVE-2021-21801][CNNVD-202107-1107]

安全類型:

XSS攻擊

事件描述:

AdvantechR-SeeNetv2.4.12(20.10.2020)的device_graph_page.php腳本功能中存在多個跨站點腳本漏洞。如果用戶訪問特制的URL,它可能會導致在目標用戶瀏覽器的上下文中執行任意JavaScript代碼。攻擊者可以提供這些精心制作的URL來觸發漏洞。

更新時間:

20220426


事件名稱:

HTTP_安全漏洞_銳捷NBR路由器EWEB網管系統_遠程命令執行[CVE-2021-21801][CNNVD-202107-1107]

安全類型:

安全漏洞

事件描述:

銳捷網絡是一家擁有包括交換機、路由器、軟件、安全防火墻、無線產品、存儲等全系列的網絡設備產品線及解決方案的專業化網絡廠商。銳捷網絡股份有限公司NBR路由器EWEB網管系統存在命令執行漏洞,攻擊者可利用該漏洞獲取服務器控制權限。

更新時間:

20220426


事件名稱:

HTTP_安全漏洞_DLink路由器_DAP_2020_遠程任意命令執行漏洞[CVE-2021-27249][CNNVD-201312-320]

安全類型:

安全漏洞

事件描述:

檢測到源IP正在利用DLink的漏洞進行任意文件讀取、執行任意命令等操作,D-LinkDAP-2020是中國臺灣友訊(D-Link)公司的一款WiFi范圍擴展器。

更新時間:

20220426


事件名稱:

HTTP_命令執行_Netgear路由器_遠程命令執行漏洞

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Netgear的遠程代碼執行漏洞進行攻擊;美國網件NETGEAR的路由器致力于為全球商用企業用戶和家庭個人用戶提供創新的產品、優質的智能家庭解決方案。

更新時間:

20220426


事件名稱:

HTTP_文件上傳_NETGEAR_ProSafe_任意文件上傳漏洞[CVE-2016-1524][CNNVD-201602-129]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用NETGEARProSafe管理系統的文件上傳漏洞上傳惡意文件;NETGEAR網絡管理系統NMS300是為NETGEAR統一基礎架構設計的。專門針對網絡設備進行監測,配置和故障診斷。

更新時間:

20220426


事件名稱:

HTTP_代碼執行_FreePBX_遠程代碼執行漏洞[CVE-2012-4869][CNNVD-201203-383]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用FreePBX的callmenum參數處的漏洞構造惡意代碼,FreePBX之前被稱為AsteriskManagementPortal,是IP電話工具Asterisk的標準化實現,可提供Web配置界面和其他工具。

更新時間:

20220426


事件名稱:

HTTP_安全漏洞_Apache_mod_jk_訪問控制繞過[CVE-2018-11759][CNNVD-201810-1558]

安全類型:

安全漏洞

事件描述:

ApacheTomcatJK(mod_jk)Connector是美國阿帕奇(Apache)軟件基金會的一款為Apache或IIS提供連接后臺Tomcat的模塊,用以為Apache或IIS服務器提供處理"font-family:宋體;font-size:13px">。

更新時間:

20220426


事件名稱:

HTTP_代碼執行_Wireless_IP_Camera_遠程代碼執行漏洞

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Wireless_IP_Camera的遠程代碼執行漏洞進行攻擊,無線網絡攝像機(P2)WIFICAM是一款整體設計不良的攝像機,存在很多漏洞。這款相機與許多其他中國相機非常相似,無線網絡攝像機(P2)WIFICAM是品牌攝像機之一。

更新時間:

20220426


事件名稱:

HTTP_安全掃描_DisBuster掃描器

安全類型:

安全掃描

事件描述:

DisBuster是滲透測試過程中常用的掃描工具,可以自定義加載自定義字典對目標進行目錄或頁面掃描和爆破。

更新時間:

20220426

 

修改事件

 

事件名稱:

HTTP_木馬_Win32.Dyzap_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Win32.Dyzap。

Win32.Dyzap是一個功能強大的竊密木馬,可竊密包括瀏覽器、郵件、FTP等客戶端保存的賬號密碼。

竊取敏感數據。

更新時間:

20220426

 

事件名稱:

TCP_后門_MSIL.Crimson_控制命令

安全類型:

木馬后門

事件描述:

檢測到后門Crimson的服務器在向Crimson發送控制命令。目的IP所在的主機可能被植入了后門 Crimson。

 

Crimson是一個功能非常強大的后門,運行后,可以完全控制被植入機器。Crimson通過各種模塊來擴展其功能,如獲取憑證,鍵盤記錄等。

可完全控制被植入機器。

更新時間:

20220426

 

事件名稱:

TCP_后門_MSIL.Crimson_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Crimson。

Crimson是一個功能非常強大的后門,運行后,可以完全控制被植入機器。Crimson通過各種模塊來擴展其功能,如獲取憑證,鍵盤記錄等。

可完全控制被植入機器。

更新時間:

20220426

 

事件名稱:

TCP_僵尸網絡_Fodcha_連接

安全類型:

木馬后門

事件描述:

檢測到僵尸網絡Fodcha試圖連接C&C服務器。源IP所在的主機可能被植入了Fodcha。Fodcha主要通過NDay漏洞和Telnet/SSH弱口令傳播,包括CVE-2021-22205、CVE-2021-35394、AndroidADBDebugServerRCE、LILINDVRRCE等漏洞。每日上線境內肉雞數以IP數計算已超過1萬,且每日會針對超過100個攻擊目標發起DDoS攻擊,攻擊非?;钴S。Fodcha使用ChaCha20加密和C&C的通信數據。

更新時間:

20220426

 

事件名稱:

HTTP_木馬后門_webshell_類菜刀流量_響應

安全類型:

木馬后門

事件描述:

中國菜刀是中國黑客圈內使用非常廣泛的一款Webshell管理工具。中國菜刀用途十分廣泛,支持多種語言,小巧實用,具有文件管理(有足夠的權限時候可以管理整個磁盤/文件系統),數據庫管理,虛擬終端等功能。對于這類管理工具,如果沒有大量的修改服務端腳本代碼,其返回流量都會有一些常見的特征,本條規則將常見的共同特征提取出來進行防御性報警。由于此事件為較為寬泛的通用特征,可能存在誤報,請參考特征性質判斷字段進行判斷。允許攻擊者完全控制被植入機器。

更新時間:

20220426

上一篇 下一篇