每周升级公告-2023-05-02
发布时间 2023-05-02新增事件
事件名称: | HTTP_提权攻击_Linux可疑命令执行攻击 |
安全类型: | 安全漏洞 |
事件描述: | 命令注入攻击,是指这样一种攻击手段,黑客通过把系统命令加入到web请求页面头部信息中,一个恶意黑客以利用这种攻击方法来非法获取数据或者网络、系统资源。null |
更新时间: | 20230502 |
事件名称: | ICMP_横向移动_内网信息收集_Fscan_1.8.2_ICMP扫描 |
安全类型: | 安全扫描 |
事件描述: | Fscan是一款使用go语言实现的扫描工具,其拥有探测主机存活、收集信息、扫描漏洞、爆破密码、漏洞利用等多种功能,攻击者可以利用该工具对域内资产情况做初步的筛选和梳理,该事件主要检测1.8.2版本中Fscan工具的icmp扫描模式。 |
更新时间: | 20230502 |
事件名称: | DNS_命令控制_远控后门_Raccoon.Stealer_解析C2域名请求 |
安全类型: | 木马后门 |
事件描述: | 检测到Raccoon.Stealer木马尝试解析C2域名。源IP所在的主机可能被植入了Raccoon.Stealer。 Raccoon也被称为 Mohazo或Racealer,是一个功能强大的窃密木马。它可以窃取主流浏览器、Cryptocurrency Wallets、Emails等客户端保存的账号密码。 |
更新时间: | 20230502 |
事件名称: | DNS_命令控制_远控后门_Necurs_C2域名解析请求 |
安全类型: | 木马后门 |
事件描述: | 检测到Necurs 木马尝试解析C2域名。Necurs 僵尸网络于 2012 年首次被发现,它由几百万台受感染的设备组成,一直致力于分发银行恶意软件、加密劫持恶意软件、勒索软件以及每次运行时发送给数百万收件人的各种电子邮件进行诈骗。 |
更新时间: | 20230502 |
事件名称: | HTTP_其它注入_Apache-solr_服务器请求伪造漏洞[CVE-2017-3164][CNNVD-201902-575] |
安全类型: | 注入攻击 |
事件描述: | 检测到源IP主机正在利用ApacheSolr服务器请求伪造漏洞对目的主机进行攻击的行为。 Apache Solr在 1.3-7.6 版本中的ReplicationHandler类对输入数据数据处理不当,存在服务器请求伪造漏洞。构造恶意请求,可以探测服务器资源,进而攻击服务器内网。 |
更新时间: | 20230502 |
事件名称: | HTTP_漏洞利用_Apache-Solr_信息泄露[CVE-2021-44548] |
安全类型: | CGI攻击 |
事件描述: | 检测到源IP主机正在利用Apache Solr 信息泄露漏洞对目的主机进行攻击的行为。 ApacheSolr是一个开源的搜索服务,使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器,是ApacheLucene项目的开源企业搜索平台。该漏洞影响了8.11.1之前的所有Apache Solr版本(仅影响Windows平台)。Apache Solr的DataImportHandler中存在一个不正确的输入验证漏洞,可利用Windows UNC路径从Solr主机调用网络上的另一台主机的SMB服务,或导致SMB攻击,从而造成敏感数据泄露。 |
更新时间: | 20230502 |
事件名称: | TCP_木马后门_Gh0st.SQ_连接C2服务器 |
安全类型: | 木马后门 |
事件描述: | 检测到远控后门试图连接远程服务器。源IP所在的主机可能被植入了远控后门Gh0st.SQ。Gh0st.SQ是一款基于Gh0st源码魔改的远控后门,运行后可以完全控制被植入机器。通过供应链攻击的形式进行传播,攻击者伪造高仿的软件下载页面,并在各大搜索引擎投放广告,引导用户下载安装捆绑远程控制木马的恶意安装包。 |
更新时间: | 20230502 |
修改事件
事件名称: | HTTP_僵尸网络_Andromeda_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到僵尸网络Andromeda试图连接远程服务器,源IP所在的主机可能被植入了Andromeda。Andromeda是一个模块化的僵尸网络,最原始的文件仅包含一个加载器。运行期间,会从C&C服务器下载各类模块,同时也具有反虚拟机和反调试的功能。 |
更新时间: | 20230502 |
事件名称: | HTTP_漏洞利用_命令执行_Apache_Solr_RunExecutableListener[CVE-2017-12629][CNNVD-201710-501] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用ApacheSolrsolr远程命令执行漏洞对目的主机进行攻击的行为。ApacheSolr是Apache开发的一个开源的基于Lucene的全文搜索服务器。其集合的配置方法(config路径)可以增加和修改监听器,通过RunExecutableListener执行任意系统命令。 |
更新时间: | 20230502 |
事件名称: | HTTP_Apache_Solr远程反序列化代码执行漏洞[CVE-2019-0192][CNNVD-201903-229] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Apache Solr远程反序列化代码执行漏洞对目的主机进行攻击的行为。 Apache Solr是一个开源的搜索服务器。Solr使用Java语言开发,主要基于HTTP和 Apache Lucene实现。Apache Solr solr.RunExecutableListener类存在远程代码执行漏洞,攻击者向网站发送精心构造的攻击payload,攻击成功可以远程执行任意命令,进而控制服务器。 通过调用Config API修改jmx.serviceUrl属性指向恶意的RMI服务,导致Apache Solr出现远程反序列化代码执行的安全漏洞。 尝试进行任意文件读取,窃取敏感信息。 |
更新时间: | 20230502 |
事件名称: | HTTP_提权攻击_Apache_Solr_Velocity_远程代码执行[CVE-2020-13957] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Apache_Solr_Velocity远程代码执行漏洞攻击目的IP主机的行为攻击成功,可远程执行任意代码。 |
更新时间: | 20230502 |
事件名称: | HTTP_提权攻击_Apache_Solr_远程代码执行漏洞[CVE-2019-17558][CNNVD-201912-1225] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用ApacheSolrVelocityResponseWriter远程代码执行漏洞对目的主机进行攻击的行为。ApacheSolr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。ApacheSolr5.0.0版本至8.3.1版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。攻击者向网站发送精心构造的攻击payload,攻击成功可以远程执行任意命令,进而控制服务器。尝试进行任意文件读取,窃取敏感信息。 |
更新时间: | 20230502 |
事件名称: | HTTP_安全漏洞_ToTolink_N600R路由器_Exportovpn_未授权命令注入 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn命令注入漏洞攻击目的IP主机。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口存在命令注入,攻击者可借此未验证远程执行恶意命令。 |
更新时间: | 20230502 |
事件名称: | HTTP_Apache_Solr_SSRF漏洞[CVE-2021-27905] |
安全类型: | 注入攻击 |
事件描述: | ApacheSolr是一个开源的搜索服务,使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器,是ApacheLucene项目的开源企业搜索平台。该漏洞是由于没有对输入的内容进行校验,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SSRF攻击,最终造成任意读取服务器上的文件。 |
更新时间: | 20230502 |
事件名称: | HTTP_提权攻击_Spring_Boot_Actuator_mysqljdbc_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Actuator的/env接口设置属性将spring.datasource.url设置为外部恶意mysqljdbcurl地址。SpringBootActuator是一款可以帮助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集成功能,可以查看应用配置的详细信息。 |
更新时间: | 20230502 |
事件名称: | HTTP_提权攻击_PHP_imap_命令执行[CVE-2018-19518][CNNVD-201811-666] |
安全类型: | 安全漏洞 |
事件描述: | 在PHP和其他产品的imap_open()中使用的UNIX上的华盛顿大学IMAP工具包2007f启动rsh命令(借助于c-client/imap4r1.c中的imap_rimap函数和osdep/unix/tcp_unix中的tcp_aopen函数.c),而不会阻止参数注入,如果IMAP服务器名称是不受信任的输入(例如,由Web应用程序的用户输入),并且rsh已被具有不同参数的程序替换,则远程攻击者可能会执行任意OS命令语义。例如,如果rsh是ssh的链接(如在Debian和Ubuntu系统上看到的),则攻击可以使用包含“-oProxyCommand”参数的IMAP服务器名称。 |
更新时间: | 20230502 |
事件名称: | TCP_提权攻击_Flask内存马注入_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到目前目的主机上的Flask服务在开放了添加路由功能的情况下,受到注入代码执行攻击。Flask是一个使用Python编写的轻量级Web应用框架。其WSGI工具箱采用Werkzeug,模板引擎则使用Jinja2。 |
更新时间: | 20230502 |
京公网安备11010802024551号