每周升级公告-2022-04-26
发布时间 2022-04-26
事件名称: | HTTP_Linux命令注入攻击 |
安全类型: | 注入攻击 |
事件描述: | 命令注入攻击,是指这样一种攻击手段,黑客通过把系统命令加入到web请求页面头部信息中,一个恶意黑客以利用这种攻击方法来非法获取数据或者网络、系统资源 |
更新时间: | 20220426 |
事件名称: | TCP_可疑行为_ping命令_远程命令执行回显 |
安全类型: | 可疑行为 |
事件描述: | 发现有执行ping系统命令的回显页面,应用程序的某些功能需要调用可以执行系统命令的函数,如果这些函数或者函数的参数被用户控制,就有可能通过命令连接符将恶意命令拼接到正常的函数中,从而执行系统命令。属于高危漏洞,如果web使用的root权限,则攻击者可以执行任意命令。 |
更新时间: | 20220426 |
事件名称: | TCP_可疑行为_dir命令_远程命令执行 |
安全类型: | CGI攻击 |
事件描述: | 发现有执行dir系统命令的回显页面 |
更新时间: | 20220426 |
事件名称: | TCP_可疑行为_netstat_远程命令执行 |
安全类型: | CGI攻击 |
事件描述: | 流量中检测到执行了敏感系统命令的回显信息,说明主机有可能已经被入侵,且攻击者具有执行系统命令的权限。 |
更新时间: | 20220426 |
事件名称: | TCP_可疑行为_ps命令_远程命令执行 |
安全类型: | 安全漏洞 |
事件描述: | 流量中检测到执行了敏感系统命令的回显信息,说明主机有可能已经被入侵,且攻击者具有执行系统命令的权限。 |
更新时间: | 20220426 |
事件名称: | TCP_可疑行为_NPS代理工具_内网穿透利用 |
安全类型: | 可疑行为 |
事件描述: | 检测到NPS代理工具连接服务器,源地址主机正在使用NPS代理工具。nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发,可支持任何tcp、udp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面,内网dns解析等等……),此外还支持内网http代理、内网socks5代理、p2p等,并带有功能强大的web管理端。因此,攻击者常利用该工具进行内网渗透。 |
更新时间: | 20220426 |
事件名称: | TCP_可疑行为_arp命令_远程命令执行 |
安全类型: | CGI攻击 |
事件描述: | 发现存在windows环境下执行arp-a系统命令的回显信息。 |
更新时间: | 20220426 |
事件名称: | 木马后门 |
安全类型: | 欺骗劫持 |
事件描述: | 检测到僵尸网络Enemybot试图连接C&C服务器。源IP所在的主机可能被植入了Enemybot。Enemybot是结合并修改Mirai和Gafgyt源代码的产物,疑似出自名为Keksec(又名KekSecurity、Necro或者FreakOut)的攻击团伙之手。Enemybot主要攻击SeowonIntech、D-Link和iRZ路由器 |
更新时间: | 20220426 |
事件名称: | HTTP_木马后门_Webshell_AntSword-2.1.x_木马连接 |
安全类型: | 木马后门 |
事件描述: | AntSword是一款集编码绕过,分块传输等众多绕过方式为一体的网站后门管理器。AntSwordv2.1.14(最新版)新增CMDLINUXShell类型基于命令执行的一句话类型,仅支持Linux环境. |
更新时间: | 20220426 |
事件名称: | HTTP_代码执行_phpMoAdmin_远程代码执行漏洞 |
安全类型: | 木马后门 |
事件描述: | 检测到源IP主机正向目的主机上的phpMoAdmin执行恶意代码。使用system,exec,shell_exec,passthru,pcntl_exec,popen,proc_open函数对传入的“find”参数进行执行,达到控制服务器的目的。phpMoAdmin是一个用PHP开发的在线MongoDB管理工具,可用于创建、删除和修改数据库和索引,提供视图和数据搜索工具,提供数据库启动时间和内存的统计,支持JSON格式数据的导入导出。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全漏洞_TendaM3_远程命令注入漏洞[CVE-2022-26290][CNNVD-202203-2102] |
安全类型: | 安全漏洞 |
事件描述: | TendaM3是中国腾达(Tenda)公司的一款门禁控制器。TendaM31.101.0.0.12(4856)版本存在安全漏洞,该漏洞源于通过组件/goform/WriteFacMac的命令注入漏洞。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全漏洞_Adobe-ColdFusion_反序列化_代码执行[CVE-2017-3066][CNNVD-201704-1418] |
安全类型: | 安全漏洞 |
事件描述: | AdobeColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusionMarkupLanguage)是针对Web应用的一种程序设计语言。AdobeColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。以下版本受到影响:AdobeColdFusion(2016release)Update3及之前的版本,ColdFusion11Update11及之前的版本,ColdFusion10Update22及之前的版本。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全漏洞_Oracle-Business_XML外部实体注入[CVE-2019-2616][CNNVD-201904-746] |
安全类型: | 注入攻击 |
事件描述: | OracleFusionMiddleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。BIPublisher(前称XMLPublisher)是其中的一个报表组件。OracleFusionMiddleware中的BIPublisher组件11.1.1.9.0版本、12.2.1.3.0版本和12.2.1.4.0版本的BIPublisherSecurity子组件存在安全漏洞。攻击者可利用该漏洞未授权读取、更新、插入或删除数据,影响数据的保密性和完整性。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全漏洞_Apache-Airflow-1.10.10_远程代码执行[CVE-2020-11978][CNNVD-202007-1187] |
安全类型: | 安全漏洞 |
事件描述: | ApacheAirflow是美国阿帕奇(Apache)软件基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。ApacheAirflow1.10.10及之前版本中的exampleDAGs存在操作系统命令注入漏洞。攻击者可利用该漏洞运行任意命令。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全漏洞_ArticaTech-Artica-Proxy_命令注入[CVE-2020-17505][CNNVD-202008-677] |
安全类型: | 安全漏洞 |
事件描述: | ArticaTechArticaProxy是法国ArticaTech公司的一款开源的Artica代理解决方案。ArticaWebProxy4.30.000000版本cyrus.php文件的service-cmds参数存在操作系统命令注入漏洞。远程攻击者可通过service_cmds_peform利用该漏洞以root权限注入并执行命令。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全漏洞_ArticaTech-Artica-Proxy_SQL注入[CVE-2020-17506][CNNVD-202008-679] |
安全类型: | 注入攻击 |
事件描述: | ArticaTechArticaProxy是法国ArticaTech公司的一款开源的Artica代理解决方案。ArticaWebProxy4.30.000000版本容易受到fw.login.php中的api键参数的SQL注入的攻击。该漏洞可以绕过Artica,通过SQL注入漏洞获得管理员权限。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全漏洞_Cisco-HyperFlex-HX-storfs-asup_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | CiscoHyperFlexHX数据平台基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者对受影响的设备执行命令注入攻击。此漏洞是由于对用户提供的输入的验证不足而引起的。攻击者可以通过向基于Web的管理界面发送精心设计的请求来利用此漏洞。成功利用该漏洞可能使攻击者以tomcat8用户的身份在受影响的设备上执行任意命令。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全漏洞_Advantech-R-SeeNet-device_跨站脚本[CVE-2021-21801][CNNVD-202107-1107] |
安全类型: | XSS攻击 |
事件描述: | AdvantechR-SeeNetv2.4.12(20.10.2020)的device_graph_page.php脚本功能中存在多个跨站点脚本漏洞。如果用户访问特制的URL,它可能会导致在目标用户浏览器的上下文中执行任意JavaScript代码。攻击者可以提供这些精心制作的URL来触发漏洞。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全漏洞_锐捷NBR路由器EWEB网管系统_远程命令执行[CVE-2021-21801][CNNVD-202107-1107] |
安全类型: | 安全漏洞 |
事件描述: | 锐捷网络是一家拥有包括交换机、路由器、软件、安全防火墙、无线产品、存储等全系列的网络设备产品线及解决方案的专业化网络厂商。锐捷网络股份有限公司NBR路由器EWEB网管系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权限。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全漏洞_DLink路由器_DAP_2020_远程任意命令执行漏洞[CVE-2021-27249][CNNVD-201312-320] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP正在利用DLink的漏洞进行任意文件读取、执行任意命令等操作,D-LinkDAP-2020是中国台湾友讯(D-Link)公司的一款WiFi范围扩展器。 |
更新时间: | 20220426 |
事件名称: | HTTP_命令执行_Netgear路由器_远程命令执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Netgear的远程代码执行漏洞进行攻击;美国网件NETGEAR的路由器致力于为全球商用企业用户和家庭个人用户提供创新的产品、优质的智能家庭解决方案。 |
更新时间: | 20220426 |
事件名称: | HTTP_文件上传_NETGEAR_ProSafe_任意文件上传漏洞[CVE-2016-1524][CNNVD-201602-129] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用NETGEARProSafe管理系统的文件上传漏洞上传恶意文件;NETGEAR网络管理系统NMS300是为NETGEAR统一基础架构设计的。专门针对网络设备进行监测,配置和故障诊断。 |
更新时间: | 20220426 |
事件名称: | HTTP_代码执行_FreePBX_远程代码执行漏洞[CVE-2012-4869][CNNVD-201203-383] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用FreePBX的callmenum参数处的漏洞构造恶意代码,FreePBX之前被称为AsteriskManagementPortal,是IP电话工具Asterisk的标准化实现,可提供Web配置界面和其他工具。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全漏洞_Apache_mod_jk_访问控制绕过[CVE-2018-11759][CNNVD-201810-1558] |
安全类型: | 安全漏洞 |
事件描述: | ApacheTomcatJK(mod_jk)Connector是美国阿帕奇(Apache)软件基金会的一款为Apache或IIS提供连接后台Tomcat的模块,用以为Apache或IIS服务器提供处理"font-family:宋体;font-size:13px">。 |
更新时间: | 20220426 |
事件名称: | HTTP_代码执行_Wireless_IP_Camera_远程代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Wireless_IP_Camera的远程代码执行漏洞进行攻击,无线网络摄像机(P2)WIFICAM是一款整体设计不良的摄像机,存在很多漏洞。这款相机与许多其他中国相机非常相似,无线网络摄像机(P2)WIFICAM是品牌摄像机之一。 |
更新时间: | 20220426 |
事件名称: | HTTP_安全扫描_DisBuster扫描器 |
安全类型: | 安全扫描 |
事件描述: | DisBuster是渗透测试过程中常用的扫描工具,可以自定义加载自定义字典对目标进行目录或页面扫描和爆破。 |
更新时间: | 20220426 |
修改事件
事件名称: | HTTP_木马_Win32.Dyzap_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Win32.Dyzap。 Win32.Dyzap是一个功能强大的窃密木马,可窃密包括浏览器、邮件、FTP等客户端保存的账号密码。 窃取敏感数据。 |
更新时间: | 20220426 |
事件名称: | TCP_后门_MSIL.Crimson_控制命令 |
安全类型: | 木马后门 |
事件描述: | 检测到后门Crimson的服务器在向Crimson发送控制命令。目的IP所在的主机可能被植入了后门 Crimson。
Crimson是一个功能非常强大的后门,运行后,可以完全控制被植入机器。Crimson通过各种模块来扩展其功能,如获取凭证,键盘记录等。 可完全控制被植入机器。 |
更新时间: | 20220426 |
事件名称: | TCP_后门_MSIL.Crimson_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Crimson。 Crimson是一个功能非常强大的后门,运行后,可以完全控制被植入机器。Crimson通过各种模块来扩展其功能,如获取凭证,键盘记录等。 可完全控制被植入机器。 |
更新时间: | 20220426 |
事件名称: | TCP_僵尸网络_Fodcha_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到僵尸网络Fodcha试图连接C&C服务器。源IP所在的主机可能被植入了Fodcha。Fodcha主要通过NDay漏洞和Telnet/SSH弱口令传播,包括CVE-2021-22205、CVE-2021-35394、AndroidADBDebugServerRCE、LILINDVRRCE等漏洞。每日上线境内肉鸡数以IP数计算已超过1万,且每日会针对超过100个攻击目标发起DDoS攻击,攻击非常活跃。Fodcha使用ChaCha20加密和C&C的通信数据。 |
更新时间: | 20220426 |
事件名称: | HTTP_木马后门_webshell_类菜刀流量_响应 |
安全类型: | 木马后门 |
事件描述: | 中国菜刀是中国黑客圈内使用非常广泛的一款Webshell管理工具。中国菜刀用途十分广泛,支持多种语言,小巧实用,具有文件管理(有足够的权限时候可以管理整个磁盘/文件系统),数据库管理,虚拟终端等功能。对于这类管理工具,如果没有大量的修改服务端脚本代码,其返回流量都会有一些常见的特征,本条规则将常见的共同特征提取出来进行防御性报警。由于此事件为较为宽泛的通用特征,可能存在误报,请参考特征性质判断字段进行判断。允许攻击者完全控制被植入机器。 |
更新时间: | 20220426 |
京公网安备11010802024551号