2020-06-30
发布时间 2020-06-30新增事件
|
事件名称: |
HTTP_注入攻击_Apache_SkyWalking_GraphQL接口_SQL注入漏洞[CVE-2020-9483] |
|
安全类型: |
注入攻击 |
|
事件描述: |
检测到源IP主机正在试图通过Apache_SkyWalking GraphQL接口的SQL注入漏洞攻击目的IP主机的行为。 Apache SkyWalking是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。远程攻击者可以通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入,成功利用此漏洞可造成敏感数据泄漏。 |
|
更新时间: |
20200630 |
|
事件名称: |
TCP_安全漏洞_ApacheSolr_远程代码执行漏洞[CVE-2019-12409] |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在利用Apache_Solr_远程代码执行漏洞攻击目的IP主机的行为,通过Mlet加载一个远端恶意MBeans,来实现任意代码的执行。Solr是Apache的顶级开源项目,该项目是使用Java开发的基于lucene的全文本搜索服务器。由于默认配置文件solr.in.sh中的ENABLE_REMOTE_JMX_OPTS配置不当,会启用JMX监视并将其暴露在RMI_PORT上(默认值= 18983)。攻击者无需进行任何身份验证,就能够访问JMX,并且可以上传恶意代码在Solr服务器上执行。 |
|
更新时间: |
20200630 |
|
事件名称: |
DNS_后门_CobaltStrike_DnsBeacon_连接 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到Cobalt Strike的dns beacon试图连接远程服务器。源IP所在的主机可能被植入了dns beacon。 Cobalt Strike是著名的渗透测试工具,它有一个dns beacon后门,支持通过dns协议传输数据。 |
|
更新时间: |
20200630 |
|
事件名称: |
TCP_安全漏洞_Microsoft_SMBv1_远程代码执行漏洞[CVE-2020-1301] |
|
安全类型: |
缓冲溢出 |
|
事件描述: |
检测到源IP主机可能正在对目的主机进行CVE-2020-1301漏洞利用的行为。 |
|
更新时间: |
20200630 |
|
事件名称: |
TCP_后门_Gh0st.B3165_连接 |
|
安全类型: |
木马后门 |
|
事件描述: |
检测到后门试图连接远程服务器。源IP所在的主机可能被植入了Gh0st.B3165。 Gh0st.B3165是利用一个根据Gh0st远控的源码修改而来的后门。运行后可完全控制被植入机器。 |
|
更新时间: |
20200630 |
修改事件
|
事件名称: |
HTTP_类菜刀流量_响应 |
|
安全类型: |
木马后门 |
|
事件描述: |
中国菜刀是中国黑客圈内使用非常广泛的一款Webshell管理工具。中国菜刀用途十分广泛,支持多种语言,小巧实用,具有文件管理(有足够的权限时候可以管理整个磁盘/文件系统),数据库管理,虚拟终端等功能。对于这类管理工具,如果没有大量的修改服务端脚本代码,其返回流量都会有一些常见的特征,本条规则将常见的共同特征提取出来进行防御性报警。由于此事件为较为宽泛的通用特征,可能存在误报,请参考特征性质判断字段进行判断。 |
|
更新时间: |
20200630 |
|
事件名称: |
TCP_通用_Java反序列化_ysoserial恶意数据利用 |
|
安全类型: |
安全漏洞 |
|
事件描述: |
检测到源IP主机正在通过TCP发送ysoserial生成的恶意JAVA反序列化数据对目的主机进行攻击。 若访问的应用存在漏洞JAVA反序列化漏洞,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。 |
|
更新时间: |
20200630 |
京公网安备11010802024551号