每周升级公告-2022-03-08

发布时间 2022-03-08

新增事件

 

事件名称:

HTTP_通用_尝试利用任意文件读取漏洞

安全类型:

可疑行为

事件描述:

由于一些网站的业务需要,往往需要提供文件读取或下载的一个模块,但如果没有对读取或下载做一个白名单或者权限限制,可能导致恶意攻击者读取下载一些敏感信息(etc/passwd等),对服务器做下一步的进攻与威胁。此事件可以通用性地检测尝试利用任意文件读取漏洞的行为。

更新时间:

20220308

 

事件名称:

TCP_可疑行为_Linux命令执行回显

安全类型:

安全漏洞

事件描述:

检测到源IP主机出现了某些Linux命令(如w、top、uptime等)执行的回显流量,包含当前系统时刻、运行时间、用户总连接数、平均负载等信息

更新时间:

20220308

 

事件名称:

HTTP_安全漏洞_BEESCMS_模板修改getshell漏洞

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用BEESCMS的后台管理模板模块来上传getshell。BEESCMS企业网站管理系统是一款PHP+MYSQL的多语言系统,内容模块易扩展,模板风格多样化,模板制作简单功能强大,专业SEO优化,后台操作方便,完全可以满足企业网站、外贸网站、事业单位、教育机构、个人网站使用。

更新时间:

20220308

 

事件名称:

HTTP_安全漏洞_若依CMS_远程命令执行漏洞

安全类型:

安全漏洞

事件描述:

若依后台管理系统使用了snakeyaml的jar包,snakeyaml是用来解析yaml的格式,可用于Java对象的序列化、反序列化。由于若依后台计划任务处,对于传入的"调用目标字符串"没有任何校验,导致攻击者可以构造payload远程调用jar包,从而执行任意命令。

更新时间:

20220308

 

事件名称:

HTTP_安全漏洞_通达OA_SQL注入漏洞

安全类型:

注入攻击

事件描述:

检测到源IP设备正在尝试使用SQL注入漏洞攻击目的IP设备。SQL注入是比较常见的网络攻击方式之一,其原因是由于未对输入的参数内容作过滤校验,导致攻击者拼接恶意SQL语句,通过SQL语句,实现无账号登录,甚至篡改数据库、拿到目的设备权限。

更新时间:

20220308

 

事件名称:

HTTP_安全漏洞_DLink_DIR8xx系列路由器_未授权命令注入[CVE-2021-45382][CNNVD-202202-1411]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过CVE-2021-45382漏洞攻击目的IP主机。DIR-810L、DIR-820L/W、DIR-826L、DIR-830L、DIR-836L系列是中国友讯D-Link公司的路由器已经处于服务终止区(EndofServiceLife)。它们固件里的DDNS函数存在命令注入漏洞,攻击者可借此远程执行恶意命令。

更新时间:

20220308

 

事件名称:

HTTP_安全漏洞_PHP_Nette框架Callback_未授权远程命令注入[CVE-2020-15227][CNNVD-202010-011]

安全类型:

安全漏洞

事件描述:

Nette是一款流行的PHPWeb快速开发框架,基于组件的事件驱动。其设计理念为:对开发者尽可能的友好并可用,Nette框架可以帮助您轻松建立好网站。Nette存在命令注入漏洞,该漏洞源于未正确过滤url中的特殊参数。攻击者可利用该漏洞未授权远程执行代码。

更新时间:

20220308

 

事件名称:

TCP_可疑行为_ifconfig_远程命令执行

安全类型:

可疑行为

事件描述:

流量中检测到执行了敏感系统命令的回显信息,说明主机有可能已经被入侵,且攻击者具有执行系统命令的权限。

更新时间:

20220308

 

 

修改事件

 

事件名称:

HTTP_通用_目录穿越漏洞[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在尝试对目的IP主机进行目录穿越漏洞攻击尝试的行为。目录穿越漏洞能使攻击者绕过Web服务器的访问限制,对web根目录以外的文件夹,任意地读取甚至写入文件数据。此规则是一条通用规则,其他漏洞(甚至一些0day漏洞)攻击的payload也有可能触发此事件报警。由于正常业务中一般不会产生此事件特征的流量,所以需要重点关注。允许远程攻击者访问敏感文件。

更新时间:

20220308