2021-05-18

发布时间 2021-05-19

新增事件


事件名称:

HTTP_安全漏洞_PHP-zerodium后门_任意代码执行漏洞

安全类型:

安全漏洞

事件描述:

PHP开发工程师JakeBirchall在对其中一个恶意COMMIT的分析过程中发现,在代码中注入的后门是来自一个PHP代码被劫持的网站上,并且采用了远程代码执行的操作,并且攻击者盗用了PHP开发人员的名义来提交此COMMIT。目前为止PHP官方并未就该事件进行更多披露,表示此次服务器被黑的具体细节仍在调查当中。由于此事件的影响,PHP的官方代码库已经被维护人员迁移至GitHub平台,之后的相关代码更新、修改将会都在GitHub上进行。

更新时间:

20210518


事件名称:

TCP_后门_Gh0st_htrfhtfe__连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。Gh0st是著名的开源远控程序,功能十分强大。具有文件管理(如上传、下载、创建、删除)、进程管理、系统服务、注册表、键盘记录、远程终端、屏幕监控、查看摄像头、监听语音等等功能,可以完全控制被感染机器。近期发现大量根据Gh0st源码修改的远控程序,并添加了自己的功能,如洪水攻击、检测系统杀毒软件、检测系统安装的网络游戏等功能。黑客还可以将含有摄像头或安装指定游戏的用户归类,有针对性的盗取用户隐私。甚至查看中毒者地理位置的功能,对用户的隐私造成更大的威胁。

更新时间:

20210518


事件名称:

HTTP_安全漏洞_Terramaster_TOS_命令注入漏洞[CVE-2020-28188][CNNVD-202012-1548]

安全类型:

安全漏洞

事件描述:

TerramasterTOS是中国深圳市图美电子技术(Terramaster)公司的一款基于Linux平台的,专用于erraMaster云存储NAS服务器的操作系统。TerraMasterTOS4.2.06版本及之前版本存在操作系统命令注入漏洞,攻击者可利用该漏洞通过在事件参数中包含makecvs.php注入操作系统命令。

更新时间:

20210518


事件名称:

HTTP_SSH-RSA私钥泄漏

安全类型:

安全漏洞

事件描述:

RSA私钥被用在RSA加密中的解码赋能,LINUX服务器支持使用RSA私钥登录SSH,RSA私钥泄露,导致主机可使用RSA登录SSH,导致主机被接管

更新时间:

20210511


事件名称:

HTTP_Microsoft-Exchange-SERVER_服务器端请求伪造[CVE-2021-26855][CNNVD-202103-192]

安全类型:

安全漏洞

事件描述:

当前主机正在遭受Microsoft-Exchange-SERVER_服务器端请求伪造攻击该漏洞是Exchange中的任意文件写入漏洞。该漏洞需要进行身份认证,利用此漏洞可以将文件写入服务器上的任何路径。并可以结合利用CVE-2021-26855SSRF漏洞或绕过权限认证进行文件写入。

更新时间:

20210518


事件名称:

HTTP_挖矿木马_Supreme_Logger_Miner_连接C2服务器

安全类型:

木马后门

事件描述:

检测到挖矿木马SupremeLogger连接C2服务器的行为。SupremeLogger是个Windows平台的挖矿木马,具有搜集受害主机敏感信息上传到C2服务器的行为,下载挖矿程序到受害主机内存并注入IE进程中执行挖矿,根据C2服务器的命令执行各种操作,如更新配置信息、安装挖矿程序等。

更新时间:

20210518


修改事件


事件名称:

HTTP_Struts2_S2-016/S2-017/S2-018远程命令执行变形攻击[CVE-2013-2251/4310]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过Apache Struts2框架命令执行漏洞攻击目的IP主机。

远程攻击者可通过带有‘action:’、‘redirect:’或‘redirectAction:’的前缀参数利用该漏洞执行任意OGNL表达式。

漏洞存在的版本:

S2-016:Struts 2.0.0 - Struts 2.3.15

S2-017:Struts 2.0.0 - Struts 2.3.15

S2-018:Struts 2.0.0 - Struts 2.3.15.2

更新时间:

20210518


事件名称:

HTTP_木马_Raccoon.Stealer_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Raccoon。Raccoon也被称为Mohazo或Racealer,是一个功能强大的窃密木马。它可以窃取主流浏览器、CryptocurrencyWallets、Emails等客户端保存的账号密码。窃取敏感数据。

更新时间:

20210518


事件名称:

HTTP_Struts2_S2-020/S2-021/S2-022远程代码执行/DOS[CVE-2014-0094/0112]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过ApacheStruts2框架命令执行漏洞攻击目的IP主机。ApacheStruts2.0.0-2.3.16版本的默认上传机制基于CommonsFileUpload1.3,其附加的ParametersInterceptor允许访问'class'参数(该参数直接映射到getClass()方法),并允许控制ClassLoader。在具体的Web容器部署环境下(如:Tomcat),攻击者利用Web容器下的JavaClass对象及其属性参数(如:日志存储参数),可向服务器发起远程代码执行攻击,进而植入网站后门控制网站服务器主机。另外,由于HTTP请求的Content-Type字段中,boundary大于边界值,并且post请求内容大于边界值,导致DDOS。漏洞存在的版本:S2-020:Struts2.0.0-Struts2.3.16.1S2-021:Struts2.0.0-Struts2.3.16.3S2-022:Struts2.0.0-Struts2.3.16.3null

更新时间:

20210518


修改事件


1、HTTP_泛微OA9.0_远程代码执行漏洞

2、TCP_可疑行为_tracert命令_远程命令执行