每周升级公告-2021-11-09
发布时间 2021-12-10新增事件
事件名称: | TCP_可疑行为_BCEL编码绕过 |
安全类型: | 其它可疑行为 |
事件描述: | 检测到源IP通过BCEL对异常类进行编码,随后利用java的类加载机制,通过这个类加载器来实现对自定义类的加载,来达到远程执行命令的作用。 |
更新时间: | 20211109 |
事件名称: | HTTP_安全漏洞_用友GRP-U8_SQL注入漏洞 |
安全类型: | SQL注入 |
事件描述: | 用友GRP-U8是一款常见的政府财务管理软件。存在SQL注入漏洞,攻击者可能利用此漏洞窃取敏感信息,获取管理员权限。 |
更新时间: | 20211109 |
事件名称: | HTTP_木马后门_webshell_Yu1uPHPSh3ll_访问 |
安全类型: | Webshell访问 |
事件描述: | 检测到源IP地址主机正在向目的IP地址主机访问可疑的Yu1uPHPSh3llwebshell文件。webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。 |
更新时间: | 20211109 |
修改事件
事件名称: | HTTP_通用_目录穿越漏洞[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902] |
安全类型: | 非授权访问/权限绕过 |
事件描述: | 检测到源IP主机正在尝试对目的IP主机进行目录穿越漏洞攻击尝试的行为。目录穿越漏洞能使攻击者绕过Web服务器的访问限制,对web根目录以外的文件夹,任意地读取甚至写入文件数据。此规则是一条通用规则,其他漏洞(甚至一些0day漏洞)攻击的payload也有可能触发此事件报警。由于正常业务中一般不会产生此事件特征的流量,所以需要重点关注。允许远程攻击者访问敏感文件。 |
更新时间: | 20211109 |
事件名称: | HTTP_安全扫描_WEB扫描器行为 |
安全类型: | 网络扫描 |
事件描述: | 检测到源IP地址的主机正在使用WEB扫描工具对目的IP地址进行漏洞扫描。WEB扫描器通常是攻击者用来做服务扫描、漏洞测试等。通过漏洞扫描,可以自动快速探测一些常见漏洞情况,当存在漏洞时便于后续进行利用攻击。 |
更新时间: | 20211109 |
京公网安备11010802024551号