2021-04-15

发布时间 2021-04-15
新增事件


事件名称:

TCP_远程代码_Citrix远程代码执行[CVE-2019-19781]

安全类型:

安全漏洞

事件描述:

CitrixADC是一款应用交付Controller,用于分析特定于应用的流量,以便智能地为Web应用程序分配、优化和保护47(L4-L7)网络流量。CitrixGateway整合了远程访问基础结构,以便跨所有应用程序提供单点登录,无论是在数据中心、云中还是作为SaaS传输。在CitrixADCCitrixGateway中存在目录遍历漏洞,允许未授权的攻击者可以进行远程命令攻击。

更新时间:

20210415


事件名称:

HTTP_安全漏洞_Chromium_V8_JavaScript引擎_远程命令执行

安全类型:

安全漏洞

事件描述:

基于Chromium的浏览器的V8JavaScript引擎中,存在一个远程命令执行漏洞。攻击者可通过控制html加载恶意JavaScript文件,达到在被攻击者主机上执行任意命令的效果。但此漏洞无法突破Chrome沙箱这一安全机制,所以影响有限。Chrome沙箱是浏览器的安全边界,可防止远程代码执行漏洞在主机上启动程序,该漏洞单独利用时目前无法逃逸浏览器的沙箱,因此该漏洞需要与另外的漏洞(Chrome沙箱逃逸)链接在一起来利用,最终可以实现远程代码执行。

更新时间:

20210415


事件名称:

HTTP_安全漏洞_TongWeb_文件上传权限隐藏账户登录尝试

安全类型:

安全漏洞

事件描述:

检测到攻击者利用TongWeb预留的,具有文件上传权限的隐藏账户进行登录尝试的行为。TongWeb是国内政企业务广泛应用的WEB应用服务器。此应用存在一个隐藏的用户,且有固定的、无法更改的默认密码,具有调用文件上传接口的权限。攻击者可利用此用户,进行上传任意文件的危险操作。

更新时间:

20210415


事件名称:

HTTP_可疑行为_Fastjson_dnslog探测

安全类型:

安全审计

事件描述:

检测到源ip正在利用dnslog探测主机后端是否是fastjson

更新时间:

20210415


新增事件


事件名称:

TCP_木马后门_Win32/Linux_ircBot_连接

安全类型:

木马后门

事件描述:

检测到ircBot试图连接远程服务器。源IP所在的主机可能被植入了ircBotircBot是基于irc协议的僵尸网络,主要功能是对指定目标主机发起DDoS攻击。还可以下载其他病毒到被植入机器。对指定目标主机发起DDoS攻击。

更新时间:

20210415


事件名称:

HTTP_木马后门_webshell_管理工具_asp控制命令

安全类型:

木马后门

事件描述:

检测到源IP地址主机上的webshell管理工具客户端正在向目的IP地址主机上的webshell服务器端发出控制命令。webshellweb入侵的脚本攻击工具。简单来说,webshell就是一个用aspphp等编写的木马后门,攻击者在入侵了一个网站后,常常将这些aspphp等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。攻击者可远程控制被上传webshell主机执行任意操作。

更新时间:

20210415


事件名称:

HTTP_可疑行为_wget_curl下载可疑文件并执行

安全类型:

可疑行为

事件描述:

检测到源IP主机正在向目的IP主机发送可疑命令,尝试控制目的IP主机下载可疑文件并执行。

更新时间:

20210415


事件名称:

HTTP_木马后门_冰蝎3.0连接

安全类型:

木马后门

事件描述:

检测到源IP主机正在利用冰蝎3.0连接目的IP主机的行为

更新时间:

20210415


删除事件


1. TCP_后门_Win32.Avzhan.DDoS.Bot_连接_1