2020-03-31
发布时间 2020-03-31新增事件
事件名称: |
TCP_木马后门_GodLua_连接 |
安全类型: |
木马后门 |
事件描述: |
检测到后门GodLua试图连接远程服务器。源IP所在的主机可能被植入了GodLua。GodLua是一个跨平台的后门,主要针对Windows和Linux系统。GodLua是首款通过DoH协议获取C2域名解析的后门,通过Confluence漏洞利用(CVE-2019-3396)传播自身。 |
更新时间: |
20200331 |
事件名称: |
TCP_RealVNC_RFB协议远程认证绕过漏洞利用成功[CVE-2006-2369] |
安全类型: |
安全漏洞 |
事件描述: |
检测到您的网络中有一台主机正在试图使用TCP_RealVNC_RFB协议远程认证绕过漏洞连接对端设备,并且已经连接成功。RealVNC VNC Server是一种远程终端控制软件。RealVNC VNC erver采用的RFB(远程帧长度)协议允许客户端与服务端协商适当的认证方法,协议的实现上存在设计错误,远程攻击者可以绕过过认证无需密码实现对服务器的访问。 |
更新时间: |
20200331 |
事件名称: |
TCP_后门_Linux.DDoS.Gafgyt_连接1 |
安全类型: |
木马后门 |
事件描述: |
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Gafgyt。Gafgyt是一个Linux僵尸网络,主要功能是对指定目标机器发起DDoS攻击。 |
更新时间: |
20200331 |
事件名称: |
TCP_后门_CoreDDRAT_试图连接 |
安全类型: |
木马后门 |
事件描述: |
检测到 CoreDDRAT 试图连接远程服务器。源IP所在的主机可能被植入了后门 CoreDDRAT 。CoreDDRAT是一个典型的远控后门,能够监视受害者当前窗口、窃取计算机敏感信息并且会根据C2服务器下发的不同指令代号执行相应操作。它具备的功能主要有:文件上传/下载、cmd命令、文件执行等功能。 |
更新时间: |
20200331 |
事件名称: |
HTTP_类菜刀流量_响应 |
安全类型: |
木马后门 |
事件描述: |
菜刀类流量如果没有大量的修改代码,其返回流量都会有一个共同的特征,本条规则将常见的共同特征提取出来进行防御性报警。 |
更新时间: |
20200331 |
修改事件
事件名称:
TCP_后门_Gh0st_连接
安全类型:
木马后门
事件描述:
该事件源IP所在的主机可能被植入了Gh0st远控程序,可以对远程主机进行任意操作。特洛伊木马(Trojan)是后门程序的一种。典型的木马程序为服务器/客户端结构,一般情况下入侵者通过利用某种漏洞取得主机的控制权后,设法在被攻击的主机上运行木马程序的服务器端,之后就可以从远程利用客户端程序通过对主机上的服务器端程序进行访问而完全控制该主机,在管理员毫无所知的情况下执行任意程序、访问任意文件等各种非法操作。因此木马程序是一种危害极大的恶意程序,如果发现主机上存在木马程序,则主机肯定已经遭到了入侵,需要尽快采取措施。
更新时间:
20200331
事件名称:
TCP_后门_Gh0st_连接(扫描)
安全类型:
木马后门
事件描述:
检测到源IP主机在对目的IP主机进行扫描。Gh0st远控是一个国内的远控程序,可以对远程主机进行任意操作。本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿Gh0st样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着Gh0st控制端,是Gh0st的C&C服务。
更新时间:
20200331
事件名称:
TCP_后门_Linux.DDoS.Gafgyt_连接
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。源IP所在的主机可能被植入了DDoS.Gafgyt。DDoS.Gafgyt是一个Linux僵尸网络,主要功能是对指定目标机器发起DDoS攻击。
更新时间:
20200331