2020-12-29

宣布时间 2020-12-29

新增事件



事件名称:

HTTP_宁静漏洞_ColdFusion未授权上传漏洞[CVE-2018-15961][CNNVD-201809-485]

宁静类型:

宁静漏洞

事件描述:

ColdFusion未授权上传漏洞可以通过一个简单的HTTPPOST请求到upload.cfm文件进行利用 ,upload.cfm是没有限制的 ,也不需要任何的认证 。

更新时间:

20201229


事件名称:

HTTP_TeaLaTex1_0_远程代码执行漏洞

宁静类型:

宁静漏洞

事件描述:

检测检测到源IP主机正在利用TeaLaTex1_0的漏洞进行远程代码执行;LaTeX是一种编辑工具 ,通常用于准备科学文件 ,特别是在数学 ,统计 ,计算机科学和工程领域 。

更新时间:

20201229


事件名称:

HTTP_Moobot_拒绝服务攻击

宁静类型:

漫衍式拒绝服务

事件描述:

检测到源IP主机试图对目的IP主机进行Moobot_拒绝服务攻击 。

更新时间:

20201229


修改事件


事件名称

HTTP_ThinkPHP5远程代码执行漏洞

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用ThinkPHP框架远程代码执行漏洞攻击目的IP主机的行为 ,试图远程注入PHP代码 ,在目标服务器上执行任意代码或命令 。ThinkPHP是一个流行的轻量级国产PHP开发框架 。当Web网站是基于ThinkPHP框架开发时 ,可能存在该漏洞时 。攻击者发送精心结构的PHP代码在目标主机上执行 ,企图进一步控制服务器 。攻击乐成 ,可远程执行任意代码 。

更新时间:

20201229


事件名称:

HTTP_通用_目录穿越漏洞[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在实验对目的IP主机进行目录穿越漏洞攻击实验的行为 。目录穿越漏洞能使攻击者绕过Web服务器的访问限制 ,对web根目录以外的文件夹 ,任意地读取甚至写入文件数据 。此规则是一条通用规则 ,其他漏洞(甚至一些0day漏洞)攻击的payload也有可能触发此事件报警 。由于正常业务中一般不会发生此事件特征的流量 ,所以需要重点关注 。允许远程攻击者访问敏感文件 。

更新时间:

20201229


事件名称:

TCP_DrayTek_预身份验证命令注入漏洞[CVE-2020-8515]

宁静类型:

宁静漏洞

事件描述:

检测到攻击者利用DrayTek预身份验证处的两处命令注入漏洞进行攻击的行为 。DrayTek是一家在中国生产防火墙 ,VPN设备 ,路由器 ,WLAN设备等的制造商 。该漏洞源于/cgi-bin/mainfunction.cgi法式未正确过滤keyPath字段和rtick字段其中的特殊字符 ,攻击者可利用该漏洞不经过身份验证以root权限执行代码 。攻击乐成 ,可以root权限执行代码 。

更新时间:

20201229


事件名称:

HTTP_后门_Win32.wingames(蔓灵花)_连接

宁静类型:

木马后门

事件描述:

检测到木马试图连接远程服务器 。源IP所在的主机可能被植入了后门wingames 。wingames是一个功效非常强大的后门 ,运行后 ,可以完全控制被植入机器 。执行攻击者发来的种种命令 。

更新时间:

20201229


事件名称:

TCP_后门_MSAServices.Bitter.Rat(蔓灵花)_连接

宁静类型:

木马后门

事件描述:

检测到Bitter木马试图连接远程服务器 。源IP所在的主机可能被植入了Bitter木马 。Bitter木马是一个功效非常强大的后门 ,运行后 ,可以完全控制被植入机器 。允许攻击者完全控制被植入机器 。

更新时间:

20201229


事件名称:

TCP_后门_PC_Access_连接

宁静类型:

木马后门

事件描述:

该事件源IP所在的主机可能被植入了PC_Access木马 ,木马的控制者可以通过该木马对被植入木马的主机实施完全的控制 。该木马会保留攻击者在目标主机上的管理员权限 。

更新时间:

20201229


事件名称:

DNS_后门_Win32.KcnaBot_连接

宁静类型:

木马后门

事件描述:

检测到后门试图连接远程服务器 。源IP所在的主机可能被植入了后门KcnaBot 。KcnaBot是一个功效非常强大的后门 ,利用DNS协议与C&C服务器通信 �?刂票恢踩牖� ,窃密敏感信息 。

更新时间:

20201229


删除事件


1. HTTP_木马后门_Marap.Downloader_连接

2. TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞扫描[MS17-010]_1

3. TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞扫描[MS17-010]_2