每周升级公告-2021-09-21
发布时间 2021-09-22新增事件
事件名称: | HTTP_可疑文件访问_常见命名 |
安全类型: | 可疑行为 |
事件描述: | 检测到源IP主机正在尝试访问目的IP主机上的可疑文件的行为。此事件仅供信息参考,不代表真实攻击。需要确认访问的文件在目的IP主机上是否真实存在。且需要确认文件内容是否为恶意内容。 |
更新时间: | 20210921 |
事件名称: | HTTP_安全漏洞_TP-Link_TL-WR940N_代码执行[CVE-2019-6989][CNNVD-201904-442] |
安全类型: | 安全漏洞 |
事件描述: | TP-LinkTL-WR940N和TP-LinkTL-WR941ND都是中国普联(TP-Link)的一款无线路由器。TP-LINKTL-WR940N和TL-WR941ND中存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。 |
更新时间: | 20210921 |
事件名称: | TCP_后门_Gh0st_Shine_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。Gh0st是著名的开源远控程序,功能十分强大。具有文件管理(如上传、下载、创建、删除)、进程管理、系统服务、注册表、键盘记录、远程终端、屏幕监控、查看摄像头、监听语音等等功能,可以完全控制被感染机器。 |
更新时间: | 20210921 |
事件名称: | HTTP_安全扫描_扫描器nessus |
安全类型: | 安全扫描 |
事件描述: | Nessus是十分强大的漏洞扫描器,该工具包含最新的漏洞数据库,检测速度快,准确性高,是渗透测试重要工具之一。该告警说明检测到nessus扫描器扫描流量。 |
更新时间: | 20210921 |
事件名称: | HTTP_安全漏洞_Optergy-Proton-Enterprise_命令注入漏洞[CVE-2019-7276][CNNVD-201906-284] |
安全类型: | 安全漏洞 |
事件描述: | OptergyProtonEnterprise是美国Optergy公司的一套企业建筑管理系统。OptergyProtonEnterprise2.3.0a及之前版本中存在安全漏洞。攻击者可利用该漏洞直接导航到未被记录的后门脚本,获取全部的系统访问权限,进而以最高权限执行代码。 |
更新时间: | 20210921 |
事件名称: | HTTP_安全漏洞_rConfig_System_ajaxArchiveFiles.php远程命令执行漏洞[CVE-2019-19509][CNNVD-202001-144] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP设备利用rConfig_System_ajaxArchiveFiles.php远程命令执行漏洞攻击目的IP设备。rConfig3.9.3中发现了一个问题。远程认证用户可以通过向ajaxArchiveFiles.php发送GET请求直接执行系统命令,因为path参数没有过滤就传递给exec函数,这会导致命令执行。 |
更新时间: | 20210921 |
事件名称: | HTTP_安全漏洞_D-Link-DIR-818LW&DIR-822_命令注入[CVE-2018-19986][CNNVD-201905-305] |
安全类型: | 安全漏洞 |
事件描述: | D-LinkDIR-822和D-LinkDIR-818LW都是中国台湾友讯(D-Link)公司的一款无线路由器。D-LinkDIR-818LWRev.A2.05.B03和DIR-822B1202KRb06中的‘RemotePort’参数存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。 |
更新时间: | 20210921 |
修改事件
事件名称: | HTTP_可疑行为_敏感文件访问 |
安全类型: | CGI攻击 |
事件描述: | 检测到源IP主机正在探测目的ip主机中可能暴露在外的敏感文件。 |
更新时间: | 20210914 |
事件名称: | TCP_Java动态调用_java.lang.ProcessBuilder_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源目标IP正在使用Java动态调用java.lang.ProcessBuilder方式进行远程代码执行攻击的行为。在Java中,程序开发人员通常会通过动态调用java.lang.ProcessBuilder方式执行外部的Shell命令。ProcessBuilder是java5.0引入的,start()方法返回Process的一个实例。通常在Java相关的应用系统中,如果处理外部命令执行时,没有对用户的输入做合理有效的过滤,攻击者可以利用这个漏洞远程注入命令或代码并执行。诸如Struts2、Spring这些应用曾经被披露出存在Java远程代码执行漏洞,例如Ognl表达式和SpEL表达式的任意代码执行漏洞。攻击者通过动态调用java.lang.ProcessBuilder方式在有缺陷应用中执行任意代码或命令,进一步完全控制目标服务器。尝试远程执行任意代码。 |
更新时间: | 20210914 |
事件名称: | TCP_Java静态调用_java.lang.Runtime_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源目标IP正在使用Java静态调用java.lang.Runtime方式进行远程代码执行攻击的行为。在Java中,程序开发人员通常会通过静态调用java.lang.Runtime方式执行外部的Shell命令。Runtime类是Java程序的运行时环境,开发者可以通过getRuntime()方法获取当前Runtime运行时对象的引用。通常在Java相关的应用系统中,如果处理外部命令执行时,没有对用户的输入做合理有效的过滤,攻击者可以利用这个漏洞远程注入命令或代码并执行。诸如Struts2、Spring这些应用曾经被披露出存在Java远程代码执行漏洞,例如Ognl表达式和SpEL表达式的任意代码执行漏洞。攻击者通过静态调用java.lang.Runtime方式在有缺陷应用中执行任意代码或命令,进一步完全控制目标服务器。尝试远程执行任意代码。 |
更新时间: | 20210921 |
事件名称: | HTTP_通用_用友NC_历史漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP可能正在利用用友NC的漏洞进行攻击;攻击者通过构造用友特定的路由实现代码执行、文件读取等操作;用友NC以“全球化集团管控、行业化解决方案、全程化电子商务、平台化应用集成”的管理业务理念而设计,是中国大企业集团管理信息化应用系统。 |
更新时间: | 20210921 |
京公网安备11010802024551号