安全類型：

安全漏洞

事件描述:

檢測到源IP主機正在利用HTTP_Atlassian-Jira_遠程代碼執行漏洞[CVE-2019-11581]攻擊目的IP主機的行為。AtlassianJira是澳大利亞Atlassian公司的一套缺陷跟蹤管理系統。該系統主要用于對工作中各類問題、缺陷進行跟蹤管理。AtlassianJiraServer和JiraDataCenter存在服務端模板注入漏洞，成功利用此漏洞的攻擊者可在運行受影響版本的JiraServer或JiraDataCenter系統上執行任意命令。目前PoC已放出，建議受影響的客戶盡快升級或采用臨時緩解措施。第一種情況，Jira服務端已配置好SMTP服務器，且“聯系管理員表單”功能已開啟(默認配置不開啟)；第二種情況，Jira服務端已配置好SMTP服務器，且攻擊者具有"JIRA管理員"的訪問權限。在第一種情況下，“聯系管理員表單”功能開啟的情況下，攻擊者可以未經任何認證，通過向/secure/ContactAdministrators."font-family:MS Mincho">發起請求利用此漏洞。在第二種情況下，攻擊者具有"JIRA管理員"的訪問權限下可通過/secure/admin/SendBulkMail!default."font-family:MS Mincho">利用此漏洞。影響版本4.4.x5.x.x6.x.x7.0.x7.1.x7.2.x7.3.x7.4.x7.5.x7.6.x<7.6.147.7.x7.8.x7.9.x7.10.x7.11.x7.12.x7.13.x<7.13.58.0.x<8.0.38.1.x<8.1.28.2.x<8.2.3修復版本7.6.147.13.58.0.38.1.28.2.3攻擊成功，可遠程執行任意代碼。

更新時間：

20220712

安全類型：

木馬后門

事件描述:

檢測到Empire的后門模塊試圖連接遠程服務器。源IP所在的主機可能被植入了Empire的后門模塊。Empire是一款類似Metasploit的滲透測試框架，使用PowerShell腳本作為攻擊載荷?？梢钥焖僭诤笃诓渴鹇┒蠢媚K，內置模塊有鍵盤記錄、Mimikatz、繞過UAC、內網掃描等。其內置了基于PowerShell的后門模塊，功能類似于Meterpreter。遠程控制被植入機器。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

檢測到源ip正在向目的ip上的浪潮ClusterEngineV4.0發送特殊的請求從而獲取服務器權限。浪潮InspurClusterEngine是中國浪潮公司的一個應用軟件。提供管理集群系統中軟硬件提交的作業。

更新時間：

20220712

安全類型：

蠕蟲病毒

事件描述:

檢測到木馬試圖連接礦池獲取區塊模板。源IP所在的主機可能被植入了BitCoinMiner木馬。Getblocktemplate協議是新的分散式的比特幣挖礦協議，于2012年中旬在比特幣社區開放自主研發，它取代了老的getwork挖礦協議。該事件表明礦工正在嘗試連接礦池并請求初始模板。挖礦程序會占用CPU資源，可能導致受害主機變慢。占用用戶資源進行挖礦。

更新時間：

20220712

安全類型：

蠕蟲病毒

事件描述:

檢測到挖礦木馬連接礦池成功的行為。源IP所在的主機可能被植入了BitCoinMiner木馬。GetBlockTemplate協議是新的分散式的比特幣挖礦協議，于2012年中旬在比特幣社區開放自主研發，它取代了老的getwork挖礦協議。該事件表明礦工正在連接礦池成功并返回區塊模板。挖礦程序會占用CPU資源，可能導致受害主機變慢。占用用戶資源進行挖礦。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

SpringCloudFunction是來自Pivotal的Spring團隊的新項目，它致力于促進函數作為主要的開發單元。該項目提供了一個通用的模型，用于在各種平臺上部署基于函數的軟件，包括像AmazonAWSLambda這樣的FaaS（函數即服務，functionasaservice）平臺。由于SpringCloudFunction未對HTTP請求頭部數據進行有效的驗證，攻擊者可利用該漏洞在未授權的情況下，構造惡意數據進行遠程代碼執行漏洞攻擊，最終獲取服務器最高權限。

更新時間：

20220712

安全類型：

蠕蟲病毒

事件描述:

檢測到木馬試圖連接遠程礦池服務器請求更改為新模板。源IP所在的主機可能被植入了BitCoinMiner木馬。Getblocktemplate協議是新的分散式的比特幣挖礦協議，于2012年中旬在比特幣社區開放自主研發，它取代了老的getwork挖礦協議。該事件表明礦工正在嘗試連接礦池并請求初始模板。挖礦程序會占用CPU資源，可能導致受害主機變慢。占用用戶資源進行挖礦。

更新時間：

20220712

安全類型：

蠕蟲病毒

事件描述:

檢測到礦工找到符合要求難度的工作時，向礦池服務器提交shares。源IP所在的主機可能被植入了BitCoinMiner木馬。Getblocktemplate協議是新的分散式的比特幣挖礦協議，于2012年中旬在比特幣社區開放自主研發，它取代了老的getwork挖礦協議。挖礦程序會占用CPU資源，可能導致受害主機變慢。占用用戶資源進行挖礦。

更新時間：

20220712

安全類型：

木馬后門

事件描述:

檢測到Fbot試圖連接C&C服務器。源IP主機可能被植入了僵尸網絡Fbot。Fbot是僵尸網絡Mirai的一個重要變種，一直很活躍。主要功能是對指定目標發起DDoS攻擊，通過各類漏洞傳播自身。

更新時間：

20220712

安全類型：

蠕蟲病毒

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了CortexMiner挖礦木馬。CortexMiner是一款挖礦惡意程序，挖礦程序會占用CPU資源，可能導致受害主機變慢。CTXC幣英文全稱cortex，CTXC的目標是打造一個真正去中心化人工智能自治系統，在區塊鏈上提供最先進的機器學習模型，用戶可以使用cortex區塊鏈上的智能合約來推斷該模型。cortex的目標之一還包括實現一個機器學習平臺，允許用戶在平臺上發布任務，提交aidapps。

更新時間：

20220712

安全類型：

蠕蟲病毒

事件描述:

檢測到挖礦木馬獲取挖礦任務的行為。源IP所在的主機可能被植入了CortexMiner挖礦木馬。CortexMiner是一款挖礦惡意程序，挖礦程序會占用CPU資源，可能導致受害主機變慢。CTXC幣英文全稱cortex，CTXC的目標是打造一個真正去中心化人工智能自治系統，在區塊鏈上提供最先進的機器學習模型，用戶可以使用cortex區塊鏈上的智能合約來推斷該模型。cortex的目標之一還包括實現一個機器學習平臺，允許用戶在平臺上發布任務，提交aidapps。

更新時間：

20220712

安全類型：

蠕蟲病毒

事件描述:

檢測到挖礦木馬挖礦成功的行為，即礦機向礦池提交挖礦結果。源IP所在的主機可能被植入了CortexMiner挖礦木馬。CortexMiner是一款挖礦惡意程序，挖礦程序會占用CPU資源，可能導致受害主機變慢。CTXC幣英文全稱cortex，CTXC的目標是打造一個真正去中心化人工智能自治系統，在區塊鏈上提供最先進的機器學習模型，用戶可以使用cortex區塊鏈上的智能合約來推斷該模型。cortex的目標之一還包括實現一個機器學習平臺，允許用戶在平臺上發布任務，提交aidapps。

更新時間：

20220712

安全類型：

蠕蟲病毒

事件描述:

檢測到挖礦木馬連接礦池成功的行為。源IP所在的主機可能被植入了CortexMiner挖礦木馬。CortexMiner是一款挖礦惡意程序，挖礦程序會占用CPU資源，可能導致受害主機變慢。CTXC幣英文全稱cortex，CTXC的目標是打造一個真正去中心化人工智能自治系統，在區塊鏈上提供最先進的機器學習模型，用戶可以使用cortex區塊鏈上的智能合約來推斷該模型。cortex的目標之一還包括實現一個機器學習平臺，允許用戶在平臺上發布任務，提交aidapps。

更新時間：

20220712

安全類型：

蠕蟲病毒

事件描述:

檢測到礦機向礦池表明支持Mining.set_extranonce方法。源IP所在的主機可能被植入了CPUMiner挖礦木馬。CPUMiner是一款挖礦惡意程序，挖礦程序會占用CPU資源，可能導致受害主機變慢。

更新時間：

20220712

安全類型：

蠕蟲病毒

事件描述:

檢測到礦池通過mining.set_extranonce方法更新礦機的Extranonce。源IP所在的主機可能被植入了CPUMiner挖礦木馬。CPUMiner是一款挖礦惡意程序，挖礦程序會占用CPU資源，可能導致受害主機變慢。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

檢測到源IP主機正在利用Click1的Java反序列化利用鏈對目的主機進行攻擊的行為。若訪問的應用存在漏洞JAVA反序列化漏洞且使用了click-nodeps:2.3.0，攻擊者可以發送精心構造的Java序列化對象，遠程執行任意代碼或命令。遠程執行任意代碼，獲取系統控制權。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

檢測到源ip正在利用Actuator的/jolokia接口調用ch.qos.logback.classic.jmx.JMXConfigurator類的reloadByURL方法設置外部日志配置url地址。SpringBootActuator是一款可以幫助你監控系統數據的框架,其可以監控很多很多的系統數據,它有對應用系統的自省和監控的集成功能，可以查看應用配置的詳細信息。Jolokia允許通過HTTP訪問所有已注冊的MBean，同時可以使用URL列出所有可用的MBeans操作。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

檢測到源ip正在利用Actuator的/env接口設置屬性將spring.datasource.url設置為外部惡意mysqljdbcurl地址。SpringBootActuator是一款可以幫助你監控系統數據的框架,其可以監控很多很多的系統數據,它有對應用系統的自省和監控的集成功能，可以查看應用配置的詳細信息。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

檢測到源IP正在利用H3C的漏洞進行惡意命令注入。H3CIMC（IntlligentManagementCenter）智能管理中心是H3C推出的下一代業務只能管理產品。它融合了當前多個產品，以統一風格提供與網絡相關的各類管理、控制、監控等功能；同時以開放的組件化的架構原型，向平臺及其承載業務提供分布式、分級式交互管理特性；并未業務軟件的下一代產品提供最可靠的、可擴展、高性能的業務平臺。

更新時間：

20220712

安全類型：

可疑行為

事件描述:

在JAVA中，javax.script.ScriptEngineManager可用來執行js代碼，攻擊者可利用此類執行惡意js代碼，從而控制目的IP設備權限

更新時間：

20220712

安全類型：

其他事件

事件描述:

Boat是一個融合了開源僵尸網絡DDoS攻擊源代碼的新僵尸網絡家族，但和C2的通信協議及交互邏輯是全新，完全不同于之前主流的僵尸網絡。目前，Boat有x86、x64、arm、mips平臺版本，主要功能包括信息搜集、DDoS攻擊、弱口令掃描、自刪除等。

更新時間：

20220712

安全類型：

可疑行為

事件描述:

在JAVA中，java.io.FileOutputStream可以用來文件寫入，攻擊者可利用該類寫入惡意jar包，配合其它漏洞及手法從而獲取目的IP設備權限。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

MicrosoftExchangeServer是個消息與協作系統。MicrosoftExchangeServer中存在特權提升漏洞。成功利用此漏洞的攻擊者可以獲得與ExchangeServer的其他任何用戶相同的權限。這可能允許攻擊者執行諸如訪問其他用戶郵箱之類的活動。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

中科網威NPFW防火墻存在任意文件讀取漏洞，由于代碼過濾不足，可讀取服務器任意文件。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

D-LinkDIR-645固件版本小于等于1.03版本存在一個遠程命令執行漏洞，該漏洞形成的原因是由于service.cgi在處理HTTP請求中的數據不當，形成命令拼接，導致可執行任意命令。

更新時間：

20220712

安全類型：

CGI攻擊

事件描述:

檢測到源ip正在向Cookie中發送cgi_logout，來竊取ASUSWRT_RT-AC53設備中的任何活動的管理會話。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

金山V8終端安全系統pdfmaker.php存在命令執行漏洞，由于沒有過濾危險字符，導致構造特殊字符即可進行命令拼接執行任意命令。

更新時間：

20220712

安全類型：

CGI攻擊

事件描述:

BSPHP存在未授權訪問漏洞，攻擊者可未授權訪問相關接口，獲取用戶名和登陸ip等敏感信息。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

該漏洞位于Squirrelly和Express模板引擎組件中，Squirrelly通過Express渲染API將純模板數據與引擎配置選項混合。漏洞形成原因在于攻擊者設置defaultFilter的參數值覆蓋原生配置屬性的值。攻擊者可以在defaultFilter值中注入惡意內容，從而執行惡意代碼。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

佑友防火墻后臺維護工具存在命令執行漏洞，由于沒有過濾危險字符，導致遠程攻擊者可以執行任意命令。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

檢測到源IP主機正在利用Myfaces2的Java反序列化利用鏈對目的主機進行攻擊的行為。攻擊者可以發送精心構造的Java序列化對象，遠程執行任意代碼或命令。遠程執行任意代碼，獲取系統控制權。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

檢測到源IP主機正在利用JBossInterceptors1的Java反序列化利用鏈對目的主機進行攻擊的行為。若訪問的應用存在漏洞JAVA反序列化漏洞且使用了javassist:3.12.1.GA,jboss-interceptor-core:2.0.0.Final,cdi-api:1.0-SP1,javax.interceptor-api:3.1,jboss-interceptor-spi:2.0.0.Final,slf4j-api:1.7.21，攻擊者可以發送精心構造的Java序列化對象，遠程執行任意代碼或命令。遠程執行任意代碼，獲取系統控制權。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

Pi-hole是一個用于內容過濾的DNS服務器，v4.3.2及其之前的版本存在命令執行漏洞，在攻擊者登錄后可以執行任意命令。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

js-yaml是YAML1.2的JavaScript解析器和串聯器。Node.js的js-yaml模塊2.0.5之前版本在解析輸入時，沒有考慮不安全的!!js/function旗標，可使遠程攻擊者通過特制的字符串觸發eval操作，執行任意代碼。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

PostgreSQL-JDBC-Driver9.4.1208-42.3.2版本會實例化jdbcurl中指定的類，當攻擊者控制jdbcurl或屬性時能夠造成遠程代碼執行

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

檢測到源IP主機正在利用CommonsBeanutils1183NOCC的Java反序列化利用鏈對目的主機進行攻擊的行為。若訪問的應用存在漏洞JAVA反序列化漏洞且使用了commons-beanutils:1.8.3，攻擊者可以發送精心構造的Java序列化對象，遠程執行任意代碼或命令，獲取系統控制權。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

檢測到源IP主機正在利用CommonsBeanutils3的Java反序列化利用鏈對目的主機進行攻擊的行為。若訪問的應用存在漏洞JAVA反序列化漏洞且使用了commons-beanutils:1.9.2,commons-collections:3.1，攻擊者可以發送精心構造的Java序列化對象，遠程執行任意代碼或命令。遠程執行任意代碼，獲取系統控制權。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

檢測到源IP主機正在利用JRMPClient_Obj的Java反序列化利用鏈對目的主機進行攻擊的行為。攻擊者可以發送精心構造的Java序列化對象，遠程執行任意代碼或命令。遠程執行任意代碼，獲取系統控制權。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

Redis被爆出Redis4.x/5.x版本存在主從同步命令執行漏洞，攻擊者通過構造特定的請求實現漏洞利用，成功利用漏洞可在目標服務器上實現Getshell。

更新時間：

20220712

安全類型：

木馬后門

事件描述:

檢測到下載者木馬Raudotek試圖連接遠程服務器，源IP所在的主機可能被植入了Raudotek。Raudotek是基于CSharp的下載者木馬，主要功能是下載其它惡意軟件。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

PlaySms是一個靈活的基于Web的短信平臺，1.4.3前的版本存在模板注入漏洞，攻擊者能夠在未登錄時執行任意代碼

更新時間：

20220712

安全類型：

注入攻擊

事件描述:

檢測到源ip正在向目的ip上的Zoho_ManageEngine_ADAudit_Plus進行XML外部實體(XXE)注入，進而執行代碼。ZohoManageEngineAdauditPlus是美國ZohoCorporation公司的用于簡化審計、證明合規性和檢測威脅。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

檢測到源ip正在通過目的主機上的Nginx_DNS_Resolver漏洞，偽造來自DNS服務器的UDP數據包，構造DNS響應造成1-byte內存覆蓋，從而導致拒絕服務或任意代碼執行。Nginx是一個高性能的HTTP和反向代理web服務器，同時也提供了IMAP/POP3/SMTP服務，由于其具有許多優越的特性，導致在全球范圍內被廣泛使用。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

深信服SSLVPN的changetelnum.csp存在邏輯越權漏洞，攻擊者登錄成功后可修改任意用戶綁定的手機號碼。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

CitrixADC和CitrixNetScalerGateway存在一個代碼注入漏洞。未經身份驗證的遠程攻擊者可以利用它來創建惡意文件，如果該惡意文件由管理網絡上的受害者執行，則可以允許攻擊者在該用戶的上下文中執行任意代碼。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

Zabbix是一個開源軟件工具，用于監控網絡、服務器、虛擬機和云服務等IT基礎設施，其5.0.17版本存在遠程代碼執行漏洞，攻擊者可利用該漏洞獲取目的IP設備權限。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

GilaCMS0.1-1.10.9版本存在文件包含漏洞，攻擊者在登陸后可以利用該漏洞讀取任意文件或包含上傳的webshell文件。

更新時間：

20220712

安全類型：

木馬后門

事件描述:

檢測到由黑客工具PoshC2生成的后門Implant試圖連接遠程服務器,源IP所在的主機可能被植入了PoshC2.Implant。PoshC2.Implant執行后攻擊者可利用PoshC2完全控制受害機器，并進行橫向移動。PoshC2是一個使用Python3編寫的后滲透代理C2框架，遵循模塊化格式，用戶可以添加自己的模塊工具，從而保證靈活的可擴展性。PoshC2擁有多種編譯語言的有效載荷，如：Powershell、C#、C++、Python等，同時提供相關載荷的源代碼、各種可執行文件、Dll和原始Shell代碼，這些使PoshC2能夠應用于廣泛的操作系統設備上，包括Windows、*nix和OSX

更新時間：

20220712

安全類型：

木馬后門

事件描述:

檢測到由黑客工具PoshC2生成的后門Implant試圖連接遠程服務器,源IP所在的主機可能被植入了PoshC2.Implant。PoshC2.Implant執行后攻擊者可利用PoshC2完全控制受害機器，并進行橫向移動。PoshC2是一個使用Python3編寫的后滲透代理C2框架，遵循模塊化格式，用戶可以添加自己的模塊工具，從而保證靈活的可擴展性。PoshC2擁有多種編譯語言的有效載荷，如：Powershell、C#、C++、Python等，同時提供相關載荷的源代碼、各種可執行文件、Dll和原始Shell代碼，這些使PoshC2能夠應用于廣泛的操作系統設備上，包括Windows、*nix和OSX

更新時間：

20220712

安全類型：

木馬后門

事件描述:

檢測到由黑客工具PoshC2生成的后門Implant試圖連接遠程服務器,源IP所在的主機可能被植入了PoshC2.Implant。PoshC2.Implant執行后攻擊者可利用PoshC2完全控制受害機器，并進行橫向移動。PoshC2是一個使用Python3編寫的后滲透代理C2框架，遵循模塊化格式，用戶可以添加自己的模塊工具，從而保證靈活的可擴展性。PoshC2擁有多種編譯語言的有效載荷，如：Powershell、C#、C++、Python等，同時提供相關載荷的源代碼、各種可執行文件、Dll和原始Shell代碼，這些使PoshC2能夠應用于廣泛的操作系統設備上，包括Windows、*nix和OSX

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

該漏洞為攻擊者通過SpringDataRest支持的PATCH方法，構造惡意的Json格式數據發送到服務端，導致服務端在解析數據時會執行任意Java代碼、解析SpEL表達式，從而實現遠程任意代碼執行。

更新時間：

20220712

安全類型：

安全漏洞

事件描述:

XStream是一個Java庫，用于將對象序列化為XML并再次返回。解組時處理的流包含類型信息以重新創建以前編寫的對象。XStream因此基于這些類型信息創建新實例。攻擊者可以操縱處理過的輸入流并替換或注入對象，從而執行從遠程服務器加載的任意代碼。

更新時間：

20220712

安全類型：

木馬后門

事件描述:

檢測源IP主機正在下載PoisonIvy的shellcode載荷。源IP所在的主機可能被植入了PoisonIvy。PoisonIvy是一個非常流行的遠程控制工具，允許攻擊者完全控制被植入機器。PoisonIvy可以生成shellcode載荷，即把所有惡意代碼放在shellcode里。

更新時間：

20220712