每周升级公告-2023-05-30
发布时间 2023-05-30新增事件
事件名称: | HTTP_注入攻击_E-Cology_detail_LoginSSO_SQL注入[CNVD-2021-33202] | |
安全类型: | 注入攻击 | |
事件描述: | 检测到攻击正在利用泛微OAE-Cology_detail_LoginSSO前台sql注入执行漏洞,泛微detail."107" valign="center" style="padding: 0px 7px; border-left-width: 1px; border-left-color: windowtext; border-right-width: 1px; border-right-color: windowtext; border-top: none; border-bottom-width: 1px; border-bottom-color: windowtext; background: rgb(255, 255, 255);"> 更新时间: | 20230530 |
事件名称: | DNS_命令控制_远控后门_Patchwork.Badnews_域名解析请求 |
安全类型: | 木马后门 |
事件描述: | 检测到Patchwork(白象)木马后门BADNEWS域名解析请求。源IP所在的主机可能被植入了BADNEWS木马。“白象”又名“Patchwork”,“摩诃草”,疑似来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击,长期窃取目标国家的科研、军事资料。BADNEWS木马是一个功能非常强大的后门,运行后,允许攻击者完全控制被植入机器。 |
更新时间: | 20230530 |
事件名称: | HTTP_漏洞利用_文件上传_MetInfo |
安全类型: | 安全漏洞 |
事件描述: | MetInfo企业建站系统采用PHP+Mysql架构,是一款对SEO非常友好、功能全面、安全稳定、支持多终端展示并且使用起来极其简单的企业建站软件。用户可以在不需要任何编程的基础上,通过简单的设置和安装就能够在互联网搭建独立的企业网站,能够极大的降低企业建站成本。Metinfo在低版本的PHP环境下存在任意文件上传漏洞,攻击者可通过该漏洞控制使用此程序的服务器。 |
更新时间: | 20230530 |
事件名称: | HTTP_漏洞利用_文件上传_海康威视iVMS综合安防_文件上传 |
安全类型: | 安全漏洞 |
事件描述: | 海康威视iVMS某接口存在任意文件上传漏洞 配合正确的token值可直接获取服务器权限 |
更新时间: | 20230530 |
事件名称: | HTTP_漏洞利用_文件上传_海康威视综合安防center_文件上传 |
安全类型: | 安全漏洞 |
事件描述: | HIKVISION Center综合安防管理平台是一套“集成化”、“智能化”的平台。海康威视综合安防center某接口存在任意文件上传漏洞,攻击者可通过该接口进行任意文件上传,造成getshell。 |
更新时间: | 20230530 |
事件名称: | HTTP_安全扫描_masscan扫描器 |
安全类型: | 安全扫描 |
事件描述: | 检测到源IP设备正在使用masscan扫描器对目的IP设备进行扫描;masscan的扫描结果类似于nmap(一个很著名的端口扫描器),在内部,它更像scanrand,unicornscan,andZMap,采用了异步传输的方式。它和这些扫描器最主要的区别是,它比这些扫描器更快。而且,masscan更加灵活,它允许自定义任意的地址范和端口范围。 |
更新时间: | 20230530 |
事件名称: | TCP_Oracle_WebLogic_反序列化漏洞[CVE-2019-2725/CVE-2019-2729] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP利用weblogic反序列化漏洞进行攻击的行为,WebLogic是一个基于JAVAEE架构的中间件,用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。部分版本WebLogic中默认包含的wls9_async_response包,为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。 |
更新时间: | 20230530 |
修改事件
事件名称: | HTTP_木马后门_webshell_china_chopper_customize控制命令 |
安全类型: | 木马后门 |
事件描述: | 该事件表明源IP地址主机上的中国菜刀客户端正在向目的IP地址主机上的webshell服务器端发出控制命令。webshell是web入侵的脚本攻击工具。简单说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,常常将这些asp或php等木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方式,通过该木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,管理员较难看出入侵痕迹。攻击者可远程控制被上传webshell主机执行任意操作。 |
更新时间: | 20230530 |
事件名称: | TCP_后门_ircBot_连接(扫描) |
安全类型: | 安全扫描 |
事件描述: | 检测到源IP主机在对目的IP主机进行扫描。ircBot是基于irc协议的僵尸网络,主要功能是对指定目标主机发起DDoS攻击。本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿ircBot样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着ircBot控制端,是ircBot的C&C服务器。Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。源IP主机在对目的IP主机进行扫描。 |
更新时间: | 20230530 |
事件名称: | TCP_可疑行为_SSF代理工具_TLS连接 |
安全类型: | 木马后门 |
事件描述: | 检测到SSF代理工具连接服务器,目的地址主机正在使用SSF代理工具。SecureSocketFunneling(SSF)是一种网络代理工具。它提供简单有效的方式,将多个sockets(TCP或UDP)的数据通过单个安全TLS链接转发到远程计算机。 |
更新时间: | 20230530 |
事件名称: | TCP_木马后门_CobaltStrike_HttpsBeacon_TLS连接 |
安全类型: | 木马后门 |
事件描述: | 检测到由黑客工具CobaltStrike生成的后门Beacon试图连接远程服务器,源IP所在的主机可能被植入了CobaltStrike.Beacon。CobaltStrike.Beacon执行后攻击者可利用CobaltStrike完全控制受害机器,并进行横向移动。CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket代理、提权、钓鱼、远控木马等功能。该工具几乎覆盖了APT攻击链中所需要用到的各个技术环节,深受黑客们的喜爱。 |
更新时间: | 20230530 |
事件名称: | HTTP_漏洞利用_XXL_JOB_未授权访问远程命令执行 |
安全类型: | 安全漏洞 |
事件描述: | XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的RestfulAPI接口或RPC接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令,直接控制服务器。 |
更新时间: | 20230530 |
事件名称: | HTTP_漏洞利用_文件上传_ActiveMQ[CVE-2016-3088][CNNVD-201605-596] | |
安全类型: | 安全漏洞 | |
事件描述: | ActiveMQ 是 Apache 软件基金会下的一个开源消息驱动中间件软件。Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 "107" valign="center" style="padding: 0px 7px; border-left-width: 1px; border-left-color: windowtext; border-right-width: 1px; border-right-color: windowtext; border-top: none; border-bottom-width: 1px; border-bottom-color: windowtext; background: rgb(255, 255, 255);"> 更新时间: | 20230530 |
事件名称: | HTTP_漏洞利用_命令执行_亿邮电子邮件系统 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用亿邮电子邮件系统通过修改cookie在目的ip主机执行远程代码执行操作,亿邮电子邮件系统是由北京亿中邮信息技术有限公司(以下简称亿邮公司)开发的一款面向中大型集团企业、政府、高校用户的国产邮件系统。亿邮电子邮件系统采用了自主研发MTA引擎、分布式文件系统存储方式、多对列机制、ECS存储子系统、Cache系统等多项核心技术,提供了丰富的邮件功能。 |
更新时间: | 20230530 |
事件名称: | HTTP_文件操作攻击_Zimbra_文件上传[CVE-2022-27925][CVE-2022-37042][CNNVD-202204-3909] |
安全类型: | 安全漏洞 |
事件描述: | ZimbraCollaborationSuite(ZCS)8.8.15和9.0具有mboximport功能,可接收ZIP存档并从中提取文件。通过绕过身份验证(即没有身份验证令牌),攻击者可以将任意文件上传到系统,从而导致目录遍历和远程代码执行。 |
更新时间: | 20230530 |
事件名称: | HTTP_提权攻击_YouPHPTube_Encoder_命令执行[CVE-2019-5127] |
安全类型: | 安全漏洞 |
事件描述: | YouPHPTubeEncoder是YouPHPTube的编码器插件,该插件可在YouPHPTube中提供编码器功能。使用者在自己的服务器上安装并使用YouPHPTubeEncoder以取代第三方公共编码器服务器,可以更快速便捷的编码自己的视频,并且还可以使用私有方式对自己的视频进行编码。在YouPHPTubeEncoder2.3中,存在无需身份验证的命令注入漏洞。攻击者可以发送包含特定参数的Web请求来触发这些漏洞。 |
更新时间: | 20230530 |
事件名称: | HTTP_提权攻击_fuelCMS_1.4.1_代码执行[CVE-2018-16763] |
安全类型: | 安全漏洞 |
事件描述: | FUELCMS是一款基于CodeIgniter的内容管理系统。其1.4.1版本存在漏洞,允许通过pages/select/执行php代码,这可能会导致远程代码执行。 |
更新时间: | 20230530 |
事件名称: | DNS_木马_Kryptik远控木马_C2域名解析请求 |
安全类型: | 木马后门 |
事件描述: | Kryptik远控木马也称为 Krypt、Cryptic、Crypt。Kryptik远控木马可以窃取各种应用程序和服务的电子邮件地址、剪贴板数据、用户名和密码等信息,此外,Kryptik 可以窃取数字证书和相关密码、访问网站的 URL、POP3 和 IMAP帐户信息、计算机名称和用户名、操作系统版本以及 Outlook Express帐户数据,还可以捕获屏幕截图、记录击键、关闭或重新启动受感染的计算机并在其上运行可执行文件。 该事件表明源IP主机感染了Kryptik远控木马,正在请求解析C&C域名然后进行连接。 |
更新时间: | 20230530 |
事件名称: | HTTP_安全风险_可疑.NET反序列化数据 |
安全类型: | 可疑行为 |
事件描述: | 检测到源IP主机正在对可能存在.NET反序列化漏洞的页面发送可疑反序列化数据攻击者可提交精心构造的反序列化数据来利用此漏洞。成功利用此漏洞的攻击者可执行任意代码。攻击者可以完全控制目标主机 |
更新时间: | 20230530 |
事件名称: | DNS_可疑行为_interact_带外查询 |
安全类型: | CGI攻击 |
事件描述: | interact.sh是interact.sh工具配套的DNSLog平台,能够对发送过去的DNS请求进行记录。经常被攻击者用于传输执行命令结果的回显。 |
更新时间: | 20230530 |
京公网安备11010802024551号