2019-08-27

宣布时间 2019-08-27

新增事件


事件名称:

HTTP_Weblogic-wls_远程命令执行[CVE-2017-10271]

事件级别:

高级事件

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用HTTP_Weblogic-wls_远程命令执行[CVE-2017-10271]攻击目的IP主机的行为。

更新时间:

20190827

默认行动:

抛弃










事件名称:

HTTP_apache-solr_远程代码执行漏洞[CVE-2019-0193]

事件级别:

中级事件

宁静类型:

宁静漏洞

事件描述:

CMS攻击检测到源IP主机正在利用TCP_Exim_远程命令执行漏洞[CVE-2019-10149]攻击目的IP主机的行为。

更新时间:

20190827

默认行动:

抛弃










事件名称:

TCP_ALTMAN3_后门连接

事件级别:

中级事件

宁静类型:

木马后门

事件描述:

检测到源IP主机正在利用ALTMAN3后门管理工具连接后门攻击目的IP主机的行为。

更新时间:

20190827

默认行动:

抛弃










事件名称:

TCP_后门_AbsoluteZero_连接

事件级别:

中级事件

宁静类型:

木马后门

事件描述:

检测到 AbsoluteZero木马 试图连接远程服务器。源IP所在的主机可能被植入了AbsoluteZero木马。

AbsoluteZero木马是一个功效强大远控,运行后可完全控制被植入机器。

更新时间:

20190827

默认行动:

抛弃


事件名称:

TCP_后门_HVNCRat_连接

事件级别:

中级事件

宁静类型:

木马后门

事件描述:

检测到HVNCRat试图连接远程服务器。源IP所在的主机可能被植入了远控HVNCRat。

HVNCRat是一个远程控制工具,允许攻击者控制被植入机器,并上传被控主机的种种敏感信息。

更新时间:

20190827

默认行动:

抛弃


事件名称:

HTTP_OpenVAS_漏洞扫描

事件级别:

低级事件

宁静类型:

宁静扫描

事件描述:

检测到源IP主机正在利用OpenVAS漏洞扫描工具对目的主机进行漏洞扫描的行为。

更新时间:

20190827

默认行动:

通过


事件名称:

HTTP_ASUS_DSL_N12E_C1_远程命令执行漏洞[CVE-2018-15887]

事件级别:

中级事件

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用HTTP_ASUS_DSL_N12E_C1_远程命令执行漏洞[CVE-2018-15887]攻击目的IP主机的行为。

更新时间:

20190827

默认行动:

通过


事件名称:

HTTP_SCADA_Microsys_PROMOTIC_空指针引用漏洞[CVE-2014-1617]

事件级别:

中级事件

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正试图通过Microsys PROMOTIC ActiveX控件中存在的宁静漏洞攻击目的IP主机。

MICROSYSPROMOTIC是捷克MICROSYS公司的一套用在工业领域的基于Windows平台的监控与数据收罗人机界面(SCADA/HMI)软件编程套件。

该攻击事件利用Microsys PROMOTIC ActiveX 控件中的空指针引用漏洞。漏洞是由于对用户向start要领的输入缺乏检查而发生。未经身份验证的远程攻击者利用此漏洞可导致目标系统上的浏览器瓦解。

更新时间:

20190820

默认行动:

通过


事件名称:

HTTP_SCADA_PROMOTIC_ActiveX_Control_不宁静要领调用漏洞[CVE-2011-4519]

事件级别:

中级事件

宁静类型:

缓冲溢出

事件描述:

检测到源IP主机正试图通过Microsys PROMOTIC ActiveX控件不宁静要领调用漏洞攻击目的IP主机。

PROMOTIC是捷克共和国MICROSYS公司的一款基于WindowsSCADA软件。

MICROSYS PROMOTIC 8.1.5之前版本中的ActiveX组件中存在基于栈的缓冲区溢出漏洞。远程攻击者可通过特制网页利用该漏洞导致拒绝服务。

更新时间:

20190827

默认行动:

通过


事件名称:

HTTP_SCADA_PROMOTIC_ActiveX_Control_不宁静要领调用漏洞[CVE-2011-4520]

事件级别:

中级事件

宁静类型:

缓冲溢出

事件描述:

检测到源IP主机正试图通过Microsys PROMOTIC ActiveX控件不宁静要领调用漏洞攻击目的IP主机。

PROMOTIC是捷克共和国MICROSYS公司的一款基于WindowsSCADA软件。

MICROSYS PROMOTIC 8.1.5之前版本中的ActiveX组件中存在基于堆的缓冲区溢出漏洞。远程攻击者可通过特制网页利用该漏洞导致拒绝服务。

更新时间:

20190827

默认行动:

通过


事件名称:

TCP_Webmin_远程命令执行漏洞[CVE-2019-15107]

事件级别:

高级事件

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用HTTP_Webmin_远程命令执行漏洞[CVE-2019-15107]攻击目的IP主机的行为。

更新时间:

20190827

默认行动:

抛弃



修改事件



事件名称:

HTTP_木马_Win32.Ralminey_连接

事件级别:

中级事件

宁静类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Win32.Ralminey木马。

该恶意木马执行后,在%Temp%文件夹下释放svchost.exe文件,启动此法式,然后注入核心恶意代码,发送上线信息,而且释放dat文件,来删除源文件。

更新时间:

20190827

默认行动:

抛弃


事件名称:

HTTP_WEB命令注入攻击

事件级别:

中级事件

宁静类型:

注入攻击

事件描述:

检测到源IP地址主机正在向目的IP地址主机进行命令注入攻击。

Web命令注入攻击就是WEB系统对用户输入的数据没有进行严格的过滤就使用,从而给黑客留下了可乘之机,攻击者可以在提交的数据中加入一些系统命令获得服务器的敏感信息或者数据。

更新时间:

20190827

默认行动:

抛弃