首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2023-05-30

發布時間 2023-05-30

新增事件

 

事件名稱:

HTTP_注入攻擊_E-Cology_detail_LoginSSO_SQL注入[CNVD-2021-33202]

安全類型:

注入攻擊

事件描述:

檢測到攻擊正在利用泛微OAE-Cology_detail_LoginSSO前臺sql注入執行漏洞,泛微detail."107" valign="center" style="padding: 0px 7px; border-left-width: 1px; border-left-color: windowtext; border-right-width: 1px; border-right-color: windowtext; border-top: none; border-bottom-width: 1px; border-bottom-color: windowtext; background: rgb(255, 255, 255);">

更新時間:

20230530

 

事件名稱:

DNS_命令控制_遠控后門_Patchwork.Badnews_域名解析請求

安全類型:

木馬后門

事件描述:

檢測到Patchwork(白象)木馬后門BADNEWS域名解析請求。源IP所在的主機可能被植入了BADNEWS木馬?!鞍紫蟆庇置癙atchwork”,“摩訶草”,疑似來自南亞某國,自2012年以來持續針對中國、巴基斯坦等國進行網絡攻擊,長期竊取目標國家的科研、軍事資料。BADNEWS木馬是一個功能非常強大的后門,運行后,允許攻擊者完全控制被植入機器。

更新時間:

20230530

 

事件名稱:

HTTP_漏洞利用_文件上傳_MetInfo

安全類型:

安全漏洞

事件描述:

MetInfo企業建站系統采用PHP+Mysql架構,是一款對SEO非常友好、功能全面、安全穩定、支持多終端展示并且使用起來極其簡單的企業建站軟件。用戶可以在不需要任何編程的基礎上,通過簡單的設置和安裝就能夠在互聯網搭建獨立的企業網站,能夠極大的降低企業建站成本。Metinfo在低版本的PHP環境下存在任意文件上傳漏洞,攻擊者可通過該漏洞控制使用此程序的服務器。

更新時間:

20230530

 

事件名稱:

HTTP_漏洞利用_文件上傳_??低昳VMS綜合安防_文件上傳

安全類型:

安全漏洞

事件描述:

??低?/span>iVMS某接口存在任意文件上傳漏洞 配合正確的token值可直接獲取服務器權限

更新時間:

20230530

 

事件名稱:

HTTP_漏洞利用_文件上傳_??低暰C合安防center_文件上傳

安全類型:

安全漏洞

事件描述:

HIKVISION Center綜合安防管理平臺是一套“集成化”、“智能化”的平臺。??低暰C合安防center某接口存在任意文件上傳漏洞,攻擊者可通過該接口進行任意文件上傳,造成getshell。

更新時間:

20230530

 

事件名稱:

HTTP_安全掃描_masscan掃描器

安全類型:

安全掃描

事件描述:

檢測到源IP設備正在使用masscan掃描器對目的IP設備進行掃描;masscan的掃描結果類似于nmap(一個很著名的端口掃描器),在內部,它更像scanrand,unicornscan,andZMap,采用了異步傳輸的方式。它和這些掃描器最主要的區別是,它比這些掃描器更快。而且,masscan更加靈活,它允許自定義任意的地址范和端口范圍。

更新時間:

20230530

 

事件名稱:

TCP_Oracle_WebLogic_反序列化漏洞[CVE-2019-2725/CVE-2019-2729]

安全類型:

安全漏洞

事件描述:

檢測到源IP利用weblogic反序列化漏洞進行攻擊的行為,WebLogic是一個基于JAVAEE架構的中間件,用于開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。部分版本WebLogic中默認包含的wls9_async_response包,為WebLogic Server提供異步通訊服務。由于該WAR包在反序列化處理輸入信息時存在缺陷,攻擊者可以發送精心構造的惡意 HTTP 請求,獲得目標服務器的權限,在未授權的情況下遠程執行命令。

更新時間:

20230530

 

修改事件

 

事件名稱:

HTTP_木馬后門_webshell_china_chopper_customize控制命令

安全類型:

木馬后門

事件描述:

該事件表明源IP地址主機上的中國菜刀客戶端正在向目的IP地址主機上的webshell服務器端發出控制命令。webshell是web入侵的腳本攻擊工具。簡單說,webshell就是一個用asp或php等編寫的木馬后門,攻擊者在入侵了一個網站后,常常將這些asp或php等木馬后門文件放置在網站服務器的web目錄中,與正常的網頁文件混在一起。然后攻擊者就可以用web的方式,通過該木馬后門控制網站服務器,包括上傳下載文件、查看數據庫、執行任意程序命令等。webshell可以穿越防火墻,由于與被控制的服務器或遠程主機交換的數據都是通過80端口傳遞的,因此不會被防火墻攔截。并且使用webshell一般不會在系統日志中留下記錄,只會在網站的web日志中留下一些數據提交記錄,管理員較難看出入侵痕跡。攻擊者可遠程控制被上傳webshell主機執行任意操作。

更新時間:

20230530

 

事件名稱:

TCP_后門_ircBot_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。ircBot是基于irc協議的僵尸網絡,主要功能是對指定目標主機發起DDoS攻擊。本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿ircBot樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著ircBot控制端,是ircBot的C&C服務器。Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。源IP主機在對目的IP主機進行掃描。

更新時間:

20230530

 

事件名稱:

TCP_可疑行為_SSF代理工具_TLS連接

安全類型:

木馬后門

事件描述:

檢測到SSF代理工具連接服務器,目的地址主機正在使用SSF代理工具。SecureSocketFunneling(SSF)是一種網絡代理工具。它提供簡單有效的方式,將多個sockets(TCP或UDP)的數據通過單個安全TLS鏈接轉發到遠程計算機。

更新時間:

20230530

 

事件名稱:

TCP_木馬后門_CobaltStrike_HttpsBeacon_TLS連接

安全類型:

木馬后門

事件描述:

檢測到由黑客工具CobaltStrike生成的后門Beacon試圖連接遠程服務器,源IP所在的主機可能被植入了CobaltStrike.Beacon。CobaltStrike.Beacon執行后攻擊者可利用CobaltStrike完全控制受害機器,并進行橫向移動。CobatStrike是一款基于java編寫的全平臺多方協同后滲透攻擊框架。CobaltStrike集成了端口轉發、端口掃描、socket代理、提權、釣魚、遠控木馬等功能。該工具幾乎覆蓋了APT攻擊鏈中所需要用到的各個技術環節,深受黑客們的喜愛。

更新時間:

20230530

 

事件名稱:

HTTP_漏洞利用_XXL_JOB_未授權訪問遠程命令執行

安全類型:

安全漏洞

事件描述:

XXL-JOB是一個輕量級分布式任務調度平臺。默認情況下XXL-JOB的RestfulAPI接口或RPC接口沒有配置認證措施,未授權的攻擊者可構造惡意請求,造成遠程執行命令,直接控制服務器。

更新時間:

20230530

 

事件名稱:

HTTP_漏洞利用_文件上傳_ActiveMQ[CVE-2016-3088][CNNVD-201605-596]

安全類型:

安全漏洞

事件描述:

ActiveMQ 是 Apache 軟件基金會下的一個開源消息驅動中間件軟件。Jetty 是一個開源的 servlet 容器,它為基于 Java 的 web 容器,例如 "107" valign="center" style="padding: 0px 7px; border-left-width: 1px; border-left-color: windowtext; border-right-width: 1px; border-right-color: windowtext; border-top: none; border-bottom-width: 1px; border-bottom-color: windowtext; background: rgb(255, 255, 255);">

更新時間:

20230530

 

事件名稱:

HTTP_漏洞利用_命令執行_億郵電子郵件系統

安全類型:

安全漏洞

事件描述:

檢測到源ip主機正在利用億郵電子郵件系統通過修改cookie在目的ip主機執行遠程代碼執行操作,億郵電子郵件系統是由北京億中郵信息技術有限公司(以下簡稱億郵公司)開發的一款面向中大型集團企業、政府、高校用戶的國產郵件系統。億郵電子郵件系統采用了自主研發MTA引擎、分布式文件系統存儲方式、多對列機制、ECS存儲子系統、Cache系統等多項核心技術,提供了豐富的郵件功能。

更新時間:

20230530

 

事件名稱:

HTTP_文件操作攻擊_Zimbra_文件上傳[CVE-2022-27925][CVE-2022-37042][CNNVD-202204-3909]

安全類型:

安全漏洞

事件描述:

ZimbraCollaborationSuite(ZCS)8.8.15和9.0具有mboximport功能,可接收ZIP存檔并從中提取文件。通過繞過身份驗證(即沒有身份驗證令牌),攻擊者可以將任意文件上傳到系統,從而導致目錄遍歷和遠程代碼執行。

更新時間:

20230530

 

事件名稱:

HTTP_提權攻擊_YouPHPTube_Encoder_命令執行[CVE-2019-5127]

安全類型:

安全漏洞

事件描述:

YouPHPTubeEncoder是YouPHPTube的編碼器插件,該插件可在YouPHPTube中提供編碼器功能。使用者在自己的服務器上安裝并使用YouPHPTubeEncoder以取代第三方公共編碼器服務器,可以更快速便捷的編碼自己的視頻,并且還可以使用私有方式對自己的視頻進行編碼。在YouPHPTubeEncoder2.3中,存在無需身份驗證的命令注入漏洞。攻擊者可以發送包含特定參數的Web請求來觸發這些漏洞。

更新時間:

20230530

 

事件名稱:

HTTP_提權攻擊_fuelCMS_1.4.1_代碼執行[CVE-2018-16763]

安全類型:

安全漏洞

事件描述:

FUELCMS是一款基于CodeIgniter的內容管理系統。其1.4.1版本存在漏洞,允許通過pages/select/執行php代碼,這可能會導致遠程代碼執行。

更新時間:

20230530

 

事件名稱:

DNS_木馬_Kryptik遠控木馬_C2域名解析請求

安全類型:

木馬后門

事件描述:

Kryptik遠控木馬也稱為 Krypt、Cryptic、Crypt。Kryptik遠控木馬可以竊取各種應用程序和服務的電子郵件地址、剪貼板數據、用戶名和密碼等信息,此外,Kryptik 可以竊取數字證書和相關密碼、訪問網站的 URL、POP3 和 IMAP帳戶信息、計算機名稱和用戶名、操作系統版本以及 Outlook Express帳戶數據,還可以捕獲屏幕截圖、記錄擊鍵、關閉或重新啟動受感染的計算機并在其上運行可執行文件。

該事件表明源IP主機感染了Kryptik遠控木馬,正在請求解析C&C域名然后進行連接。

更新時間:

20230530

 

事件名稱:

HTTP_安全風險_可疑.NET反序列化數據

安全類型:

可疑行為

事件描述:

檢測到源IP主機正在對可能存在.NET反序列化漏洞的頁面發送可疑反序列化數據攻擊者可提交精心構造的反序列化數據來利用此漏洞。成功利用此漏洞的攻擊者可執行任意代碼。攻擊者可以完全控制目標主機

更新時間:

20230530

 

事件名稱:

DNS_可疑行為_interact_帶外查詢

安全類型:

CGI攻擊

事件描述:

interact.sh是interact.sh工具配套的DNSLog平臺,能夠對發送過去的DNS請求進行記錄。經常被攻擊者用于傳輸執行命令結果的回顯。

更新時間:

20230530

上一篇