2019-06-18

宣布时间 2019-06-19

新增事件

事件名称：	TCP_Oracle_WebLogic_反序列化漏洞[CNVD-C-2019-48814/CVE-2019-2725]
事件级别：	高级事件
宁静类型：	宁静漏洞
事件描述：	检测到源IP利用weblogic反序列化漏洞进行攻击的行为
更新时间：	20190618
默认行动：	抛弃

事件名称：	TCP_Oracle_WebLogic_反序列化漏洞探测[CNVD-C-2019-48814/CVE-2019-2725]
事件级别：	高级事件
宁静类型：	宁静漏洞
事件描述：	检测到源IP利用weblogic反序列化漏洞进行攻击的行为
更新时间：	20190618
默认行动：	抛弃

事件名称：	HTTP_Coremail_配置信息泄露漏洞[CNVD-2019-16798]
事件级别：	中级事件
宁静类型：	宁静漏洞
事件描述：	检测到源IP正在利用Coremail_配置信息泄露漏洞进行攻击的行为
更新时间：	20190618
默认行动：	抛弃

事件名称：	HTTP_木马后门_RigExploitKit_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到漏洞利用工具包Rig试图下载恶意软件，源IP主机正在浏览的网页很可能被植入了恶意的脚本代码，被定向到漏洞利用工具包Rig的页面，导致下载恶意软件。 Exploit Kit是漏洞利用工具包，预打包了安装法式、控制面板、恶意代码以及相当数量的攻击工具。一般来说，Exploit Kit会包罗一系列差异的漏洞利用代码。攻击者会向合法的网站注入恶意的脚本或代码，以重定向到Exploit Kit页面。受害者浏览网页时即加载Exploit Kit的种种漏洞利用代码，最终下载其它恶意软件。 Rig是2014年泛起的一款Exploit Kit即漏洞利用工具包，主要以Java，Flash和Silverlight漏洞为目标。
更新时间：	20190618
默认行动：	抛弃

事件名称：	HTTP_木马后门_webshell_jsp_string_byte变形
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到源IP主机正向目的主机上传或下载jsp木马
更新时间：	20190618
默认行动：	抛弃

事件名称：	HTTP_watchbog_挖矿木马下载
事件级别：	高级事件
宁静类型：	木马后门
事件描述：	检测到远程执行命令中包罗下载watchbog挖矿木马行为
更新时间：	20190618
默认行动：	抛弃

事件名称：	HTTP_Nexus_Repository_Manager_3远程代码执行漏洞[CVE-2019-7238]
事件级别：	高级事件
宁静类型：	宁静漏洞
事件描述：	Nexus Repository Manager用于搭建Maven私服，用于管理陈诉和文档的项目管理软件
更新时间：	20190618
默认行动：	抛弃

修改事件

事件名称：	TCP_后门_njRat_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。 njRAT是一个C＃语言编写的后门，功效异常强大，可完全控制被熏染机器。目前已发现使用njRAT对中东国家提倡攻击的案例。主要针对能源、电信、政府等重要目标。 njRAT可以窃取敏感信息，如键盘记录、主流浏览器(Firefox、Google Chrome、Opera)生存的密码、焦点窗口标题等，也可以截取被熏染机器桌面。
更新时间：	20190618
默认行动：	抛弃

事件名称：	TCP_后门_Boer远控_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	Boer远控是一款国内的远程控制软件，可以对远程主机进行任意操作。特洛伊木马（Trojan）是后门法式的一种。典型的木马法式为服务器/客户端结构，一般情况下入侵者通过利用某种漏洞取得主机的控制权后，设法在被攻击的主机上运行木马法式的服务器端，之后就可以从远程利用客户端法式通过对主机上的服务器端法式进行访问而完全控制该主机，在管理员毫无所知的情况下执行任意法式、访问任意文件等种种非法操作。因此木马法式是一种危害极大的恶意法式，如果发现主机上存在木马法式，则主机肯定已经遭到了入侵，需要尽快接纳措施。
更新时间：	20190618
默认行动：	抛弃

事件名称：	TCP_后门_VBS.H.Worm.Rat_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。 H-worm是一个基于VBS语言的后门，功效非常强大。H-worm借鉴了njRAT的开源代码，服务端为使用VBS脚本编写的蠕虫病毒，适用于Windows全系操作系统而且使用了比力先进的User-Agent通报数据的方式，主要流传方式有三种:电子邮件附件、恶意链接和被熏染的U盘流传,蠕虫式的流传机制会形成大量的熏染。因为其简洁有效的远控功效、非PE脚本易于免杀、便于修改等特性,一直被黑产所青睐而活跃至今。
更新时间：	20190618
默认行动：	抛弃

事件名称：	UDP_后门_Win32.ZeroAcess_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。 Win32.ZeroAcess是一个后门，运行后，注入其他进程。下载其他病毒或者配置信息或者�？榈然蚯匀∶舾行畔�。上报该事件有两种可能，一是源主机被熏染了，连接CC服务器；二是ZeroAcess服务器端通过shadan署理方式进行扫描行为，主要看源IP是否是本单元的IP地址。
更新时间：	20190618
默认行动：	抛弃

事件名称：	HTTP_Trojan.Win32.Rombertik_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马Rombertik。 Rombertik是一个窃取敏感信息的木马，具有高度庞大的逃避检测和防止分析技术，还能够删除受害者硬盘数据，以使计算机无法正常使用。运行后把自身注入到浏览器进程，收集用户浏览Web网站时的所有信息以及用户登录凭证和其他敏感数据。Rombertik主要通过邮件流传。
更新时间：	20190618
默认行动：	抛弃

事件名称：	TCP_木马后门_Win32/Linux_ircBot_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到ircBot试图连接远程服务器。源IP所在的主机可能被植入了ircBot。 ircBot是基于irc协议的僵尸网络，主要功效是对指定目标主机提倡DDoS攻击�；箍梢韵略仄渌《镜奖恢踩牖�。
更新时间：	20190618
默认行动：	抛弃

事件名称：	HTTP_木马后门_webshell_PHP_eval一句话webshell
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到源IP主机正向目的主机上传PHP eval一句话webshell木马。
更新时间：	20190618
默认行动：	抛弃

事件名称：	TTP_木马后门_webshell_JSP_一句话木马
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到源IP主机正向目的主机上传jsp cmd小马。
更新时间：	20190618
默认行动：	抛弃

事件名称：	HTTP_木马后门_ASP_webshell一句话木马
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到源IP主机正向目的主机上传ASP一句话木马的行为攻击者实验向服务器上传ASP一句话木马文件，如果上传乐成将通过一句话木马连接工具对服务器进行控制。
更新时间：	20190618
默认行动：	抛弃

删除事件

1. POP3_FOXMAILD_USER_远程缓冲区溢出漏洞利用[CVE-2005-0635/0636]

2. FTP_ArGoSoft_DELE_远程缓冲区溢出漏洞利用[CVE-2005-0696]

3. TCP_CA服务器_GETCONFIG远程溢出漏洞利用[CVE-2005-0581]

4. ICMP_牢固源IP的PING_FLOOD攻击

5. ICMP_PING主机漫衍扫描

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

技术支持

2019-06-18

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线