抖圈为赌而生

首页 > 技术支持 > 升级通告 > 每周升级通告

2018-08-23

宣布时间 2018-08-23

新增事件

事件名称：	TCP_木马后门_DMShell++_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到DMShell++试图连接远程服务器。源IP所在的主机可能被植入了DMShell++。 DMShell ++是一个用PowerShell编写的后门法式。当DMShell++和服务器建立TCP连接后，首先调用SendLoginInfo函数，该函数以TOKEN \| * \| IP ADDRESS \| * \| WINDOWS VERSION \| * \| USER NAME的形式向C2服务器发送有关系统的信息。一旦发送了第一个数据包，脚本就会进入无限循环，期待来自C2服务器的命令。
更新时间：	20180823
默认行动：	抛弃

事件名称：	TCP_后门_Win32.NewCore_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到NewCore试图连接远程服务器。源IP所在的主机可能被植入了NewCore。 NewCore是一个非常强大的后门，运行后可完全控制被植入机器。NewCore的核心�？槭谴覥&C服务器上下载下来的。
更新时间：	20180823
默认行动：	抛弃

事件名称：	HTTP_Struts2_S2-057远程代码执行攻击[CVE-2018-11776]
事件级别：	高级事件
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正试图通过Apache Struts2框架命令执行漏洞攻击目的IP主机。 Apache Struts是美国阿帕奇（Apache）软件基金会卖力维护的一款用于创建企业级Java Web应用的开源框架。 Apache Struts 2.3至2.3.34版本与2.5至2.5.16版本中存在远程命令执行漏洞。远程攻击者在对方Struts2的XML配置中的namespace值未设置且（Action Configuration）中未设置或用通配符namespace时利用该漏洞执行任意OGNL表达式。
更新时间：	20180823
默认行动：	抛弃

修改事件

事件名称：	HTTP_WEB命令注入攻击
事件级别：	中级事件
宁静类型：	CGI攻击
事件描述：	检测到源IP地址主机正在向目的IP地址主机进行命令注入攻击。 Web命令注入攻击就是WEB系统对用户输入的数据没有进行严格的过滤就使用，从而给黑客留下了可乘之机，攻击者可以在提交的数据中加入一些系统命令获得服务器的敏感信息或者数据。
更新时间：	20180823
默认行动：	抛弃

事件名称：	HTTP_后门_Win32.Neutrino_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门Neutrino。 Neutrino是一个僵尸网络，功效非常强大，运行后可完全控制被植入机器。
更新时间：	20180823
默认行动：	抛弃

事件名称：	TCP_后门_Win32.Remcos_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Remcos。 Remcos是一个功效强大的远控，运行后可完全控制被植入机器。
更新时间：	20180823
默认行动：	抛弃

事件名称：	TCP_后门_Win32.Kortos_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Kortos。 Kortos是一个基于AutoIT脚本的后门，运行后可完全控制被植入机器。
更新时间：	20180823
默认行动：	抛弃

事件名称：	HTTP_Malware_yty.Downloader_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。yty.downloader是一个下载法式，卖力检索包罗附加功效的�？�/插件。 yty是一种新的�？榛褚馊砑蚣�，主要关注文件收集，截图和键盘记录。
更新时间：	20180823
默认行动：	抛弃

事件名称：	HTTP_Malware_yty_上传信息
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了yty，正在上传信息。 yty是一种新的�？榛褚馊砑蚣�，主要关注文件收集，截图和键盘记录。
更新时间：	20180823
默认行动：	抛弃

事件名称：	HTTP_木马_msfte(T-APT-02)_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了msfte。 msfte是一个功效强大的木马，主要功效有：插件加载、上传插件收集的文件和接收C2下发的远程控制命令。
更新时间：	20180823
默认行动：	抛弃

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号