每周升级公告-2022-11-22
发布时间 2022-11-22
新增事件
事件名称: TCP_后门_Beacon.Payload_连接
安全类型: 木马后门
事件描述: 检测到目的IP主机试图向源IP主机传输后门。常见的Beacon包括CobaltStrike的Beacon,以及Metasploit的Meterpreter等。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_Apache_Flink_小于1.11.2_任意文件读取[CVE-2020-17519][CNNVD-202101-271]
安全类型: 安全漏洞
事件描述: ApacheFlink1.11.0,1.11.1,1.11.2版本允许攻击者通过JobManager进程的RESTAPI读取JobManager本地文件系统上的任何文件(JobManager进程能访问到的)。
更新时间: 20221122
事件名称: HTTP_信息泄露_SQLiteManager_1.2.0_目录穿越[CVE-2007-1232]
安全类型: CGI攻击
事件描述: 检测到源IP主机正在利用SQLiteManager的目录穿越漏洞访问敏感文件。SQLiteManager1.2.0版本中的目录遍历漏洞允许远程攻击者通过SQLiteManager_currentTheme中的..读取任意文件。
更新时间: 20221122
事件名称: HTTP_提权攻击_Apache_CouchDB_JSON_命令执行[CVE-2017-12636][CNNVD-201711-486]
安全类型: 安全漏洞
事件描述: 检测到源ip主机正在利用目的主机上ApacheCouchDB的Restful的API接口存在的漏洞,构造恶意Json格式的数据,从而使非管理员用户以数据库系统用户的身份访问服务器上的任意shell命令。CouchDB是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。CouchDB采用基于Erlang的JSON解析器,与基于JavaScript的JSON解析器不同,CouchDB可以在数据库中提交带有角色重复键的_users文档用于实现访问控制,甚至包括表示管理用户的_admin角色。
更新时间: 20221122
事件名称: HTTP_提权攻击_致远OA_ajax.do_未授权访问
安全类型: 安全漏洞
事件描述: 检测到源IP正在利用致远OAV8.0以下版本的未授权漏洞获取权限来进行进一步文件上传的攻击;致远OA办公自动化软件,用于OA办公自动化软件的开发销售。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_若依CMS_小于4.5.1_文件读取[CNVD-2021-01931]
安全类型: 安全漏洞
事件描述: 检测到源ip主机正在利用若依CMS<4.5.1版本中的任意文件读取漏洞,登录后台后,可以读取服务器上的任意文件。若依管理系统是基于SpringBoot的权限管理系统。
更新时间: 20221122
事件名称: HTTP_提权攻击_Microsoft_Exchange_Servers_命令执行[CVE-2022-40140][CVE-2022-41082]
安全类型: 安全漏洞
事件描述: ExchangeServer是微软公司的一套电子邮件服务组件,是个消息与协作系统。该系统存在漏洞,可在经过ExchangeServer身份验证并且具有PowerShell操作权限的情况下利用这些漏洞(组合利用)远程执行恶意代码:CVE-2022-41040:MicrosoftExchangeServer服务器端请求伪造(SSRF)漏洞,CVE-2022-41082:MicrosoftExchangeServer远程代码执行(RCE)漏洞。
更新时间: 20221122
事件名称: HTTP_提权攻击_Oracle_WebLogic_反序列化绕过[CVE-2019-2725][CNNVD-201904-1251]
安全类型: 安全漏洞
事件描述: OracleWebLogicServer是OracleCorporation当前开发的JavaEE应用服务器。OracleWebLogicServer10.3.6.0.0、OracleWebLogicServer12.1.3.0.0版本存在反序列化漏洞,该漏洞绕过CVE-2019-2725补丁,漏洞存在wls-wsat和bea_wls9_async_response组件,未经授权的攻击者可以发送精心构造的恶意HTTP请求,获取服务器权限,实现远程代码执行。
更新时间: 20221122
事件名称: SMTP_窃密木马_Snake_Keylogger_上传窃密信息
安全类型: 木马后门
事件描述: 检测到SnakeKeylogger窃密木马正在向远程服务器上传窃密的各种信息。Snake恶意软件是一种以.NET编程语言实现的信息窃取恶意软件。通过网络钓鱼邮件分发。Snake是一种功能丰富的恶意软件,对用户的隐私和安全构成重大威胁。Snake具有记录击键以及剪贴板数据、屏幕截图和凭据盗窃功能。Snake可以从50多个应用程序中窃取凭据,其中包括FTP客户端、邮件客户端、通信平台和Web浏览器等应用程序。Snake支持通过多种协议进行上传数据,例如FTP、SMTP和Telegram三种方式上传窃取的信息。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_泛微OA_fileDownload.jsp_文件下载
安全类型: 安全漏洞
事件描述: 检测到源ip正在利用目的主机上的泛微OAfileDownload.jsp存在的任意文件下载漏洞。攻击者可以通过..\/来绕过泛微对../的限制,从而实现任意文件下载。泛微OA是国内公司发布的一款移动办公平台。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_泛微OA_Ecology_weaver.eui.EuiServlet_文件上传
安全类型: 安全漏洞
事件描述: 检测到源ip正在利用目的主机上的泛微OA_Ecology上后台存在的文件上传漏洞上传任意文件,从而获取权限。泛微OA是国内公司发布的一款移动办公平台。
更新时间: 20221122
事件名称: HTTP_提权攻击_Apache_Spark_代码执行[CVE-2020-9480]
安全类型: 安全漏洞
事件描述: ApacheSpark是一个开源集群运算框架。在ApacheSpark2.4.5以及更早版本中Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,在主机上执行命令,造成远程代码执行。
更新时间: 20221122
事件名称: TCP_后门_Yakes.qwq连接
安全类型: 其他事件
事件描述: 该事件表明,木马试图连接远程服务器。该事件源IP主机可能被植入了后门Yakes.qwq。Yakes.qwq是基于IRC协议的后门,运行后,把自身代码插入到系统正常进程。连接远程IRC命令和控制服务器,接收其指令,并执行。如下载恶意软件,发起DDOS攻击。本后门运行后,首先创建假回收站文件夹,并拷贝自身到该文件夹下,达到隐藏的目的。设置注册表,实现开机启动隐藏在假回收站里的后门程序。接收并执行IRC服务器的指令。
更新时间: 20221122
事件名称: HTTP_木马后门_webshell_Altman_PHP连接
安全类型: 木马后门
事件描述: 检测到源IP主机正在通过Webshell管理工具Altman访问目的主机上的一句话Webshell,从而得到执行代码、上传下载文件等权限。Altman基于.Net4.0开发,整个程序采用mef插件架构。目前完成的功能有:Shell管理、命令执行、文件管理、数据库管理、编码器等,脚本类型支持asp、aspx、php、jsp、python。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_Snews_CMS_文件上传攻击
安全类型: 安全漏洞
事件描述: 检测到源IP主机正在利用SnewsCMS中的文件上传漏洞,上传恶意文件,从而获得目的IP主机的执行代码、文件上传、数据库操作等权限。sNews是一完全地自由的、符合标准的、使用PHP和MySQL驱动的内容管理系统(CMS)。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_PHP_chr函数_webshell文件上传
安全类型: 安全漏洞
事件描述: 检测到源IP主机正在利用chr函数构造恶意文件绕过关键词检测,上传PHP恶意文件,从而获得目的IP主机的执行代码、文件上传、数据库操作等权限。
更新时间: 20221122
事件名称: TCP_提权攻击_Zabbix_Server_trapper_命令执行
安全类型: 安全漏洞
事件描述: 检测到源ip正在利用Zabbix的漏洞进行恶意命令执行。Zabbix是由AlexeiVladishev开发的一种网络监视、管理系统,基于Server-Client架构。在CVE-2017-2824中,其Server端trappercommand功能存在一处代码执行漏洞,而修复补丁并不完善,导致可以利用IPv6进行绕过,注入任意命令。
更新时间: 20221122
事件名称: HTTP_信息泄露_Alibaba_Canal-config_云密钥_信息泄露
安全类型: CGI攻击
事件描述: canal是阿里巴巴旗下的一款开源项目,因权限问题,攻击者可通过特定的地址访问获取一些较为敏感的数据。
更新时间: 20221122
事件名称: TCP_提权攻击_可疑反弹shell命令注入_攻击失败
安全类型: 安全漏洞
事件描述: 检测到源IP主机正在向目的主机进行BASH_反弹shell命令注入攻击。反弹连接,是指攻击者指定服务端,受害者主机主动连接攻击者的服务端程序。反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。攻击者攻击成功后可以远程执行系统命令。当执行bash反弹shell命令有误时,会返回bash:nojobcontrolinthisshell
更新时间: 20221122
事件名称: TCP_提权攻击_ASP.NET_ObjectDataProvider-YamlDotNet利用链_ysoserial工具利用_命令执行
安全类型: 安全漏洞
事件描述: ysoserial.net是在常见.NET库中发现的实用程序和面向属性的编程“小工具链”的集合,可以在适当的条件下利用.NET应用程序执行不安全的对象反序列化。主驱动程序接受用户指定的命令并将其包装在用户指定的小工具链中,然后将这些对象序列化到标准输出。当类路径上具有所需小工具的应用程序不安全地反序列化此数据时,将自动调用链并导致命令在应用程序主机上执行。
更新时间: 20221122
事件名称: HTTP_提权攻击_yii反序列化_代码执行[CVE-2020-15148][CNNVD-202009-926]
安全类型: 安全漏洞
事件描述: 检测到源IP利用目的ip上yii的反序列化漏洞构造序列化文本从而执行远程命令执行的行为。Yii是一个高性能的PHP5的web应用程序开发框架。通过一个简单的命令行工具yiic可以快速创建一个web应用程序的代码框架,开发者可以在生成的代码框架基础上添加业务逻辑,以快速完成应用程序的开发。
更新时间: 20221122
事件名称: HTTP_提权攻击_ZendFramework_3.0_反序列化_代码执行[CVE-2021-3007][CNNVD-202101-025]
安全类型: 安全漏洞
事件描述: 检测到源IP利用目的ip上ZendFramework3.0的反序列化漏洞构造序列化文本从而执行远程命令执行的行为。ZENDZendFramework(ZF)是美国Zend(ZEND)公司的一套开源的PHP开发框架,它主要用于开发Web程序和服务。
更新时间: 20221122
事件名称: HTTP_信息泄露_Swagger-api工具_敏感文件访问
安全类型: CGI攻击
事件描述: Swagger是一款RESTFUL接口的、基于YAML、JSON语言的文档在线自动生成、代码自动生成的工具。spring框架中也会使用Swagger:springfox-swagger2(2.4)springfox-swagger-ui(2.4),相关文件夹被访问有信息泄露风险。
更新时间: 20221122
事件名称: HTTP_安全漏洞_ToTolink_N600R路由器_Exportovpn_未授权命令注入
安全类型: 安全漏洞
事件描述: 检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn命令注入漏洞攻击目的IP主机。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口存在命令注入,攻击者可借此未验证远程执行恶意命令。
更新时间: 20221122
事件名称: HTTP_安全漏洞_若依CMS_远程命令执行漏洞
安全类型: 安全漏洞
事件描述: 若依后台管理系统使用了snakeyaml的jar包,snakeyaml是用来解析yaml的格式,可用于Java对象的序列化、反序列化。由于若依后台计划任务处,对于传入的"调用目标字符串"没有任何校验,导致攻击者可以构造payload远程调用jar包,从而执行任意命令。
更新时间: 20221122
事件名称: TCP_后门_Beacon.Payload_连接
安全类型: 木马后门
事件描述: 检测到目的IP主机试图向源IP主机传输后门。常见的Beacon包括CobaltStrike的Beacon,以及Metasploit的Meterpreter等。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_Apache_Flink_小于1.11.2_任意文件读取[CVE-2020-17519][CNNVD-202101-271]
安全类型: 安全漏洞
事件描述: ApacheFlink1.11.0,1.11.1,1.11.2版本允许攻击者通过JobManager进程的RESTAPI读取JobManager本地文件系统上的任何文件(JobManager进程能访问到的)。
更新时间: 20221122
事件名称: HTTP_信息泄露_SQLiteManager_1.2.0_目录穿越[CVE-2007-1232]
安全类型: CGI攻击
事件描述: 检测到源IP主机正在利用SQLiteManager的目录穿越漏洞访问敏感文件。SQLiteManager1.2.0版本中的目录遍历漏洞允许远程攻击者通过SQLiteManager_currentTheme中的..读取任意文件。
更新时间: 20221122
事件名称: HTTP_提权攻击_Apache_CouchDB_JSON_命令执行[CVE-2017-12636][CNNVD-201711-486]
安全类型: 安全漏洞
事件描述: 检测到源ip主机正在利用目的主机上ApacheCouchDB的Restful的API接口存在的漏洞,构造恶意Json格式的数据,从而使非管理员用户以数据库系统用户的身份访问服务器上的任意shell命令。CouchDB是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。CouchDB采用基于Erlang的JSON解析器,与基于JavaScript的JSON解析器不同,CouchDB可以在数据库中提交带有角色重复键的_users文档用于实现访问控制,甚至包括表示管理用户的_admin角色。
更新时间: 20221122
事件名称: HTTP_提权攻击_致远OA_ajax.do_未授权访问
安全类型: 安全漏洞
事件描述: 检测到源IP正在利用致远OAV8.0以下版本的未授权漏洞获取权限来进行进一步文件上传的攻击;致远OA办公自动化软件,用于OA办公自动化软件的开发销售。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_若依CMS_小于4.5.1_文件读取[CNVD-2021-01931]
安全类型: 安全漏洞
事件描述: 检测到源ip主机正在利用若依CMS<4.5.1版本中的任意文件读取漏洞,登录后台后,可以读取服务器上的任意文件。若依管理系统是基于SpringBoot的权限管理系统。
更新时间: 20221122
事件名称: HTTP_提权攻击_Microsoft_Exchange_Servers_命令执行[CVE-2022-40140][CVE-2022-41082]
安全类型: 安全漏洞
事件描述: ExchangeServer是微软公司的一套电子邮件服务组件,是个消息与协作系统。该系统存在漏洞,可在经过ExchangeServer身份验证并且具有PowerShell操作权限的情况下利用这些漏洞(组合利用)远程执行恶意代码:CVE-2022-41040:MicrosoftExchangeServer服务器端请求伪造(SSRF)漏洞,CVE-2022-41082:MicrosoftExchangeServer远程代码执行(RCE)漏洞。
更新时间: 20221122
事件名称: HTTP_提权攻击_Oracle_WebLogic_反序列化绕过[CVE-2019-2725][CNNVD-201904-1251]
安全类型: 安全漏洞
事件描述: OracleWebLogicServer是OracleCorporation当前开发的JavaEE应用服务器。OracleWebLogicServer10.3.6.0.0、OracleWebLogicServer12.1.3.0.0版本存在反序列化漏洞,该漏洞绕过CVE-2019-2725补丁,漏洞存在wls-wsat和bea_wls9_async_response组件,未经授权的攻击者可以发送精心构造的恶意HTTP请求,获取服务器权限,实现远程代码执行。
更新时间: 20221122
事件名称: SMTP_窃密木马_Snake_Keylogger_上传窃密信息
安全类型: 木马后门
事件描述: 检测到SnakeKeylogger窃密木马正在向远程服务器上传窃密的各种信息。Snake恶意软件是一种以.NET编程语言实现的信息窃取恶意软件。通过网络钓鱼邮件分发。Snake是一种功能丰富的恶意软件,对用户的隐私和安全构成重大威胁。Snake具有记录击键以及剪贴板数据、屏幕截图和凭据盗窃功能。Snake可以从50多个应用程序中窃取凭据,其中包括FTP客户端、邮件客户端、通信平台和Web浏览器等应用程序。Snake支持通过多种协议进行上传数据,例如FTP、SMTP和Telegram三种方式上传窃取的信息。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_泛微OA_fileDownload.jsp_文件下载
安全类型: 安全漏洞
事件描述: 检测到源ip正在利用目的主机上的泛微OAfileDownload.jsp存在的任意文件下载漏洞。攻击者可以通过..\/来绕过泛微对../的限制,从而实现任意文件下载。泛微OA是国内公司发布的一款移动办公平台。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_泛微OA_Ecology_weaver.eui.EuiServlet_文件上传
安全类型: 安全漏洞
事件描述: 检测到源ip正在利用目的主机上的泛微OA_Ecology上后台存在的文件上传漏洞上传任意文件,从而获取权限。泛微OA是国内公司发布的一款移动办公平台。
更新时间: 20221122
事件名称: HTTP_提权攻击_Apache_Spark_代码执行[CVE-2020-9480]
安全类型: 安全漏洞
事件描述: ApacheSpark是一个开源集群运算框架。在ApacheSpark2.4.5以及更早版本中Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,在主机上执行命令,造成远程代码执行。
更新时间: 20221122
事件名称: TCP_后门_Yakes.qwq连接
安全类型: 其他事件
事件描述: 该事件表明,木马试图连接远程服务器。该事件源IP主机可能被植入了后门Yakes.qwq。Yakes.qwq是基于IRC协议的后门,运行后,把自身代码插入到系统正常进程。连接远程IRC命令和控制服务器,接收其指令,并执行。如下载恶意软件,发起DDOS攻击。本后门运行后,首先创建假回收站文件夹,并拷贝自身到该文件夹下,达到隐藏的目的。设置注册表,实现开机启动隐藏在假回收站里的后门程序。接收并执行IRC服务器的指令。
更新时间: 20221122
事件名称: HTTP_木马后门_webshell_Altman_PHP连接
安全类型: 木马后门
事件描述: 检测到源IP主机正在通过Webshell管理工具Altman访问目的主机上的一句话Webshell,从而得到执行代码、上传下载文件等权限。Altman基于.Net4.0开发,整个程序采用mef插件架构。目前完成的功能有:Shell管理、命令执行、文件管理、数据库管理、编码器等,脚本类型支持asp、aspx、php、jsp、python。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_Snews_CMS_文件上传攻击
安全类型: 安全漏洞
事件描述: 检测到源IP主机正在利用SnewsCMS中的文件上传漏洞,上传恶意文件,从而获得目的IP主机的执行代码、文件上传、数据库操作等权限。sNews是一完全地自由的、符合标准的、使用PHP和MySQL驱动的内容管理系统(CMS)。
更新时间: 20221122
事件名称: HTTP_文件操作攻击_PHP_chr函数_webshell文件上传
安全类型: 安全漏洞
事件描述: 检测到源IP主机正在利用chr函数构造恶意文件绕过关键词检测,上传PHP恶意文件,从而获得目的IP主机的执行代码、文件上传、数据库操作等权限。
更新时间: 20221122
事件名称: TCP_提权攻击_Zabbix_Server_trapper_命令执行
安全类型: 安全漏洞
事件描述: 检测到源ip正在利用Zabbix的漏洞进行恶意命令执行。Zabbix是由AlexeiVladishev开发的一种网络监视、管理系统,基于Server-Client架构。在CVE-2017-2824中,其Server端trappercommand功能存在一处代码执行漏洞,而修复补丁并不完善,导致可以利用IPv6进行绕过,注入任意命令。
更新时间: 20221122
事件名称: HTTP_信息泄露_Alibaba_Canal-config_云密钥_信息泄露
安全类型: CGI攻击
事件描述: canal是阿里巴巴旗下的一款开源项目,因权限问题,攻击者可通过特定的地址访问获取一些较为敏感的数据。
更新时间: 20221122
事件名称: TCP_提权攻击_可疑反弹shell命令注入_攻击失败
安全类型: 安全漏洞
事件描述: 检测到源IP主机正在向目的主机进行BASH_反弹shell命令注入攻击。反弹连接,是指攻击者指定服务端,受害者主机主动连接攻击者的服务端程序。反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。攻击者攻击成功后可以远程执行系统命令。当执行bash反弹shell命令有误时,会返回bash:nojobcontrolinthisshell
更新时间: 20221122
事件名称: TCP_提权攻击_ASP.NET_ObjectDataProvider-YamlDotNet利用链_ysoserial工具利用_命令执行
安全类型: 安全漏洞
事件描述: ysoserial.net是在常见.NET库中发现的实用程序和面向属性的编程“小工具链”的集合,可以在适当的条件下利用.NET应用程序执行不安全的对象反序列化。主驱动程序接受用户指定的命令并将其包装在用户指定的小工具链中,然后将这些对象序列化到标准输出。当类路径上具有所需小工具的应用程序不安全地反序列化此数据时,将自动调用链并导致命令在应用程序主机上执行。
更新时间: 20221122
事件名称: HTTP_提权攻击_yii反序列化_代码执行[CVE-2020-15148][CNNVD-202009-926]
安全类型: 安全漏洞
事件描述: 检测到源IP利用目的ip上yii的反序列化漏洞构造序列化文本从而执行远程命令执行的行为。Yii是一个高性能的PHP5的web应用程序开发框架。通过一个简单的命令行工具yiic可以快速创建一个web应用程序的代码框架,开发者可以在生成的代码框架基础上添加业务逻辑,以快速完成应用程序的开发。
更新时间: 20221122
事件名称: HTTP_提权攻击_ZendFramework_3.0_反序列化_代码执行[CVE-2021-3007][CNNVD-202101-025]
安全类型: 安全漏洞
事件描述: 检测到源IP利用目的ip上ZendFramework3.0的反序列化漏洞构造序列化文本从而执行远程命令执行的行为。ZENDZendFramework(ZF)是美国Zend(ZEND)公司的一套开源的PHP开发框架,它主要用于开发Web程序和服务。
更新时间: 20221122
事件名称: HTTP_信息泄露_Swagger-api工具_敏感文件访问
安全类型: CGI攻击
事件描述: Swagger是一款RESTFUL接口的、基于YAML、JSON语言的文档在线自动生成、代码自动生成的工具。spring框架中也会使用Swagger:springfox-swagger2(2.4)springfox-swagger-ui(2.4),相关文件夹被访问有信息泄露风险。
更新时间: 20221122
事件名称: HTTP_安全漏洞_ToTolink_N600R路由器_Exportovpn_未授权命令注入
安全类型: 安全漏洞
事件描述: 检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn命令注入漏洞攻击目的IP主机。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口存在命令注入,攻击者可借此未验证远程执行恶意命令。
更新时间: 20221122
事件名称: HTTP_安全漏洞_若依CMS_远程命令执行漏洞
安全类型: 安全漏洞
事件描述: 若依后台管理系统使用了snakeyaml的jar包,snakeyaml是用来解析yaml的格式,可用于Java对象的序列化、反序列化。由于若依后台计划任务处,对于传入的"调用目标字符串"没有任何校验,导致攻击者可以构造payload远程调用jar包,从而执行任意命令。
更新时间: 20221122
京公网安备11010802024551号