2020-12-01
发布时间 2020-12-02新增事件
事件名称: | TCP_powershell命令注入攻击 |
安全类型: | 安全漏洞 |
事件描述: | PowerShell是微软Windows操作系统中自带的软件包,因此,攻击者可以在受害者主机中随时使用这款工具。在实际观察到的攻击活动中,PowerShell的主要作用是从远程位置下载恶意文件到受害者主机中,然后使用诸如Start-Porcess、Invoke-Item或者Invoke-Expression(-IEX)之类的命令执行恶意文件,PowerShell也可以将远程文件直接下载到受害者主机内存中,然后从内存中执行。 |
更新时间: | 20201201 |
事件名称: | HTTP_安全漏洞_Nagios_XI_远程代码执行漏洞[CVE-2020-5791][CNNVD-202010-1115] |
安全类型: | 安全漏洞 |
事件描述: | Nagios XI是一个建立在Nagios核心上的企业级监测和报警方案的开源组件。功能包括PHP网站界面、综合表现图、可定制的仪表板、网络结构、配置GUI(图形用户接口)、用户管理等。Nagios XI 5.7.3中存在远程代码执行安全漏洞,攻击者可利用此漏洞以“apache”用户执行任意命令。 |
更新时间: | 20201201 |
事件名称: | HTTP_木马后门_Asruex_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到Asruex组件尝试连接服务器,源IP所在的主机可能被植入了Asruex后门。研究人员早在2015年就发现了Asruex后门,而且与DarkHotel监控恶意软件有关联。该攻击团伙至少从2015年开始就已经针对物理隔离网络进行针对性的攻击了,其主要攻击目标为朝鲜半岛相关的重要政治人物或者要害部门,偶尔也会针对东南亚等国进行攻击。 |
更新时间: | 20201201 |
事件名称: | HTTP_Webshell_php_COM调用 |
安全类型: | 安全漏洞 |
事件描述: | 检测检测到源IP主机正向目的主机上传一句话木马的行为。 攻击者尝试向服务器上传一句话木马文件,如果上传成功将通过一句话木马连接工具对服务器进行控制。 尝试上传Webshell,获取网站控制权。 |
更新时间: | 20201201 |
事件名称: | HTTP_安全漏洞_Citrix_XenMobile_任意文件读取漏洞[CVE-2020-8209][CNNVD-202008-646] |
安全类型: | 安全漏洞 |
事件描述: | XenMobile是Citrix开发的企业移动性管理软件。该产品允许企业管理员工的移动设备和移动应用程序。该软件的目的是通过允许员工安全地在企业拥有的和个人移动设备及应用程序上工作来提高生产率。Citrix Endpoint Management 存在任意文件读取漏洞,远程未授权攻击者通过发送特制HTTP请求,可以造成读取受影响设备上任意文件的影响。 |
更新时间: | 20201201 |
事件名称: | HTTP_安全漏洞_D-Link-HNAP-SoapAction-Header命令执行漏洞[CVE-2015-2051] |
安全类型: | 安全漏洞 |
事件描述: | D-LinkDIR-645Wired/WirelessRouter是友讯(D-Link)公司的一款智能无线路由器产品。使用1.04b12及之前版本固件的D-LinkDIR-645中存在安全漏洞,远程攻击者可通过对HNAP接口执行GetDeviceSettings操作,利用该漏洞执行任意代码。 |
更新时间: | 20201201 |
事件名称: | HTTP_安全漏洞_phpunint_远程代码执行漏洞[CVE-2017-9841][CNNVD-201706-1127] |
安全类型: | 安全漏洞 |
事件描述: | PHPUnit 是 PHP 程式语言中最常见的单元测试 (unit testing) 框架,通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹.phpunit生产环境中仍然安装了它,如果该编写器模块存在于Web可访问目录,则存在远程代码执行漏洞。 |
更新时间: | 20201201 |
事件名称: | HTTP_安全漏洞_EyouCms_任意文件上传漏洞 |
安全类型: | 安全漏洞 |
事件描述: | EyouCms是基于TP5.0框架为核心开发的免费开源的企业内容管理系统。EyouCms存在文件上传漏洞,攻击者可利用该漏洞获取网站服务器控制权。 |
更新时间: | 20201201 |
事件名称: | HTTP_安全漏洞_MacCms8.X_远程代码执行命令漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 魅魔电影程序(Maccms PHP)是一套采用PHP/MySQL数据库运行的全新且完善的强大视频电影系统。完美支持众多视频网站和高清播放器(youku,tudou,qvod,gvod等),完全免费开源。该漏洞主要的产生原因是CMS搜索页面搜索参数过滤不严导致直接eval执行PHP语句。 |
更新时间: | 20201201 |
事件名称: | HTTP_MODx_任意文件上传漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP利用MODx执行任意代码,从而获取网站的控制权或者删除任意文件。MODx 是一个开源的 PHP 应用框架,可以帮助使用者控制自己的网上内容。它是开发人员和高级用户理想的控制系统,任何人都可以使用 MODx 发布、更新、维护动态网站,或 html 静态页面的网站内容。 |
更新时间: | 20201201 |
事件名称: | HTTP_安全漏洞_ThinkCMF任意代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | ThinkCMF是一款基于ThinkPHP+MySQL开发的开源中文内容管理框架。远程攻击者在无需任何权限情况下,可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。 |
更新时间: | 20201201 |
事件名称: | HTTP_安全漏洞_ThinkCMF任意文件包含漏洞 |
安全类型: | 安全漏洞 |
事件描述: | ThinkCMF是一款基于ThinkPHP+MySQL开发的开源中文内容管理框架。远程攻击者在无需任何权限情况下,可利用此漏洞构造恶意的url,利用文件包含漏洞,获取设备权限。 |
更新时间: | 20201201 |
事件名称: | TCP_安全漏洞_Docker_Remote_API_未授权访问漏洞 |
安全类型: | 安全漏洞 |
事件描述: | Docker Remote API 是一个取代远程命令行界面(rcli)的REST API。Docker Remote API如配置不当可导致未授权访问,攻击者利用docker client或者http直接请求就可以访问这个API,可能导致敏感信息泄露,黑客也可以删除Docker上的数据。攻击者可进一步利用Docker自身特性,直接访问宿主机上的敏感信息,或对敏感文件进行修改,最终完全控制服务器。 |
更新时间: | 20201201 |
事件名称: | HTTP_安全漏洞_Typecho_install.php反序列化漏洞 |
安全类型: | 安全漏洞 |
事件描述: | Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。Typecho的install.php文件存在的反序列化漏洞,攻击者可以利用执行php代码进而获取目标权限。 |
更新时间: | 20201201 |
事件名称: | TELNET_安全漏洞_Cisco_Catalyst_交换机_远程代码执行漏洞[CVE-2017-3881][CVE-2017-3881][CNNVD-201703-840][CVE-2017-3881][CNNVD-201703-840] |
安全类型: | 安全漏洞 |
事件描述: | Cisco IOS和Cisco IOS XE软件中的Cisco集群管理协议(CMP)处理代码中的漏洞可能允许未经身份验证的远程攻击者重新加载受影响的设备或以提升的特权远程执行代码。 |
更新时间: | 20201201 |
事件名称: | SNMP_安全漏洞_Cisco_IOS_远程代码执行漏洞[CVE-2017-6736][CNNVD-201706-1229] |
安全类型: | 安全漏洞 |
事件描述: | 思科IOS和IOS XE软件的简单网络管理协议(SNMP)子系统包含多个漏洞,这些漏洞可能允许经过身份验证的远程攻击者在受影响的系统上远程执行代码,或导致受影响的系统重新加载。攻击者可以利用这些漏洞,通过IPv4或IPv6向受影响的系统发送精心制作的SNMP包。 |
更新时间: | 20201201 |
修改事件
事件名称: | HTTP_ECShop全系列版本远程代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正向目的主机进行Ecshop登录页面注入攻击代码。 |
更新时间: | 20201201 |
事件名称: | HTTP_木马后门_webshell_PHP_eval_base64_decode木马 |
安全类型: | 木马后门 |
事件描述: | 检测到 Bitter木马 试图连接远程服务器。源IP所在的主机可能被植入了 Bitter木马。 |
更新时间: | 20201117 |
事件名称: | HTTP_安全漏洞_Discuz_7.x_faq.php_SQL注入漏洞 |
安全类型: | CGI攻击 |
事件描述: | 检测到源IP主机正向目的主机进行Discuz_7.x_faq.php_grouppermission_SQL注入攻击。 |
更新时间: | 20201201 |
事件名称: | HTTP_Nginx解析漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到利用Nginx文件名后缀解析错误的上传行为。 |
更新时间: | 20201201 |
事件名称: | HTTP_seacms_search.php_前台getshell漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用seacms search.php 前台getshell漏洞进行攻击的行为。 |
更新时间: | 20201201 |
事件名称: | HTTP_ThinkPHP5远程代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用ThinkPHP框架远程代码执行漏洞攻击目的IP主机的行为,试图远程注入PHP代码,在目标服务器上执行任意代码或命令。 |
更新时间: | 20201201 |
事件名称: | HTTP_ZeroShell_远程代码执行漏洞[CVE-2019-12725] |
安全类型: | 安全漏洞 |
事件描述: | Zeroshell是一套面向服务器和嵌入式系统的Linux发行版。Zeroshell 3.9.0版本中存在安全漏洞,该漏洞源于程序没有正确处理HTTP参数。 |
更新时间: | 20201201 |
事件名称: | HTTP_木马后门_CobaltStrike.Powershell_代码下载执行 |
安全类型: | 木马后门 |
事件描述: | 检测到由黑客工具 CobaltStrike 生成的 后门powershell命令 试图连接远程服务器下载木马 CobaltStrike.Beacon, 源IP所在的主机可能执行了后门Powershell命令。CobaltStrike.Beacon执行后攻击者可利用CobaltStrike完全控制受害机器,并进行横向移动。 |
更新时间: | 20201201 |
京公网安备11010802024551号