2020-03-03

发布时间 2020-03-03

新增事件


事件名称:

HTTP_Java反序列化_POST方式_ysoserial恶意数据

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_Java反序列化_POST方式_ysoserial恶意数据对目的主机进行攻击的行为。

若访问的页面存在漏洞,攻击者可以发送精心构造的 Java 序列化对象,远程执行任意代码或命令。

更新时间:

20200303

 

事件名称:

HTTP_齐治运维堡垒机_data_provider.php_后台命令执行漏洞

安全类型:

CGI攻击

事件描述:

检测到源IP地址试图通过访问data_provider.php文件来攻击目的IP地址主机。如果使用恶意的参数提交访问,可能会造成命令执行等危害产生。

齐治科技是堡垒机(运维操作平台/运维操作审计)的创造者和领导者,是国内唯一专注在运维操作管理领域的厂商,是业内最早也是最专业的运维操作管理整体解决方案提供商。

齐治运维堡垒机后台存在命令执行漏洞,允许远程攻击者利用漏洞提交特殊的请求,获取服务器权限执行任意命令。

更新时间:

20200303

 

事件名称:

UDP_NFS_共享文件服务敏感信息泄露漏洞尝试

安全类型:

安全漏洞

事件描述:

检测到源IP主机对目的IP进行NFS 共享文件服务敏感信息泄露漏洞尝试的行为。

NFS全称Network File   System,即网络文件系统,属于网络层,主要用于网络间文件的共享,最早由sun公司开发

可以对目标主机进行"showmount   -e"操作,此操作将泄露目标主机大量敏感信息,比如目录结构。更糟糕的是,如果访问控制不严的话,攻击者有可能直接访问到目标主机上的数据。

更新时间:

20200303

 

事件名称:

TCP_Windows_SamrGetMembersInGroup\EnumDomains读取域成员

安全类型:

可疑行为

事件描述:

检测到源IP对目的主机读取域内组成员的行为.

Microsoft Windows是微软发布的非常流行的操作系统。

在获取到主机权限后,黑客通常会查询域管理员,域控制器主机名来收集域内信息。

更新时间:

20200303


事件名称:

TCP_Windows_系统默认共享连接

安全类型:

可疑行为

事件描述:

检测到源IP对目的主机进行远程注册表连接的行为.

Microsoft Windows是微软发布的非常流行的操作系统。

如果攻击者成功远程连接   Microsoft 注册表,就可能获取目标服务器的注册表信息,并修改其中内容。

更新时间:

20200303

 

事件名称:

TCP_后门_ObliqueRAT_试图连接

安全类型:

木马后门

事件描述:

检测到 ObliqueRAT 试图连接远程服务器。源IP所在的主机可能被植入了远控 ObliqueRAT 。

ObliqueRAT是一个典型的远控后门,能够根据C2服务器下发的不同指令代号执行相应操作。它具备的功能主要有:文件上传/下载、cmd命令、文件执行、计算机指纹收集、文件管理等功能。

更新时间:

20200303


修改事件


事件名称:

HTTP_绿盟极光漏洞扫描器_WEB漏洞扫描

安全类型:

安全扫描

事件描述:

检测到源IP地址的主机正在使用绿盟极光漏洞扫描器对目的IP地址的WEB服务器进行扫描。     

绿盟极光漏洞扫描器(RSAS)是出自Nsfocus的漏洞扫描器。RSAS是一款能够扫描检测SQL注入、跨站脚本漏洞、CGI漏洞及网页挂马检测等WEB漏洞及系统安全漏洞的综合扫描器。

更新时间:

20200303