抖圈为赌而生

首页 > 技术支持 > 升级通告 > 每周升级通告

2019-06-22

宣布时间 2019-06-22

新增事件

事件名称：	TCP_NSA_EternalChampion_(永恒冠军)_SMB远程代码执行漏洞Sync_Response[MS17-010]
事件级别：	高级事件
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用Microsoft Windows SMB远程代码执行漏洞进行攻击的行为。 Microsoft Windows是微软宣布的非常流行的操作系统。如果攻击者向 Microsoft 服务器发送经精心结构的畸形请求包，可以获取目标服务器的系统权限，而且完全控制目标系统。
更新时间：	20190622
默认行动：	抛弃

事件名称：	TTCP_NSA_EternalChampion_(永恒冠军)_SMB远程代码执行漏洞Sync_Request[MS17-010]
事件级别：	高级事件
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用Microsoft Windows SMB远程代码执行漏洞进行攻击的行为。 Microsoft Windows是微软宣布的非常流行的操作系统。如果攻击者向 Microsoft 服务器发送经精心结构的畸形请求包，可以获取目标服务器的系统权限，而且完全控制目标系统。
更新时间：	20190622
默认行动：	抛弃

事件名称：	TCP_NSA_EternalRomance_(永恒浪漫)_SMB远程代码执行漏洞3[MS17-010]
事件级别：	高级事件
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用Microsoft Windows SMB远程代码执行漏洞进行攻击的行为。 Microsoft Windows是微软宣布的非常流行的操作系统。如果攻击者向 Microsoft 服务器发送经精心结构的畸形请求包，可以获取目标服务器的系统权限，而且完全控制目标系统。
更新时间：	20190622
默认行动：	抛弃

事件名称：	TCP_NSA_EternalRomance_(永恒浪漫)_SMB远程代码执行漏洞2[MS17-010]
事件级别：	高级事件
宁静类型：	宁静漏洞
事件描述：	检测到漏洞利用工具包Rig试图下载恶意软件，源IP主机正在浏览的网页很可能被植入了恶意的脚本代码，被定向到漏洞利用工具包Rig的页面，导致下载恶意软件。 Exploit Kit是漏洞利用工具包，预打包了安装法式、控制面板、恶意代码以及相当数量的攻击工具。一般来说，Exploit Kit会包罗一系列差异的漏洞利用代码。攻击者会向合法的网站注入恶意的脚本或代码，以重定向到Exploit Kit页面。受害者浏览网页时即加载Exploit Kit的种种漏洞利用代码，最终下载其它恶意软件。 Rig是2014年泛起的一款Exploit Kit即漏洞利用工具包，主要以Java，Flash和Silverlight漏洞为目标。
更新时间：	20190622
默认行动：	抛弃

事件名称：	TCP_NSA_EternalRomance_(永恒浪漫)_SMB远程代码执行漏洞1[MS17-010]
事件级别：	高级事件
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正向目的主机上传或下载jsp木马
更新时间：	20190622
默认行动：	抛弃

事件名称：	HTTP_木马后门_ASP_webshell一句话木马下载
事件级别：	高级事件
宁静类型：	木马后门
事件描述：	检测到远程执行命令中包罗下载watchbog挖矿木马行为
更新时间：	20190622
默认行动：	抛弃

事件名称：	HTTP_Nexus_Repository_Manager_3远程代码执行漏洞[CVE-2019-7238]
事件级别：	高级事件
宁静类型：	宁静漏洞
事件描述：	Nexus Repository Manager用于搭建Maven私服，用于管理陈诉和文档的项目管理软件
更新时间：	20190622
默认行动：	抛弃

修改事件

事件名称：	TCP_后门_Gh0st.DHLAR_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门DHLAR。 Gh0st.DHLAR是利用一个凭据Gh0st远控的源码修改而来的后门，运行后可以完全控制被植入机器。
更新时间：	20190622
默认行动：	抛弃

事件名称：	HTTP_僵尸网络_MiraiXMiner_连接
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到僵尸网络MiraiXMiner试图连接远程服务器。源IP所在的主机可能被植入了MiraiXMiner。 MiraiXMiner是一个仍然活跃着的僵尸网络，融合了多种已知病毒家族，包罗Mirai、MyKings、远控、挖矿等。利用永恒之蓝漏洞、闭路电视物联网设备漏洞、MSSQL漏洞、RDP爆破和Telnet爆破等方式流传自身。
更新时间：	20190622
默认行动：	抛弃

事件名称：	TCP_NSA_Windows_SMB_DoublePulsar植入乐成2
事件级别：	高级事件
宁静类型：	木马后门
事件描述：	检测到通过MS17-010的漏洞植入DoublePulsar后门的行为。 Microsoft Windows是美国微软（Microsoft）公司宣布的一系列操作系统。SMBv1 server是其中的一个服务器协议组件。DoublePulsar是一个后门法式，用于在已熏染的系统上注入和运行恶意代码。 Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。远程攻击者可借助特制的数据包利用该漏洞植入DoublePulsar后门。
更新时间：	20190622
默认行动：	抛弃

事件名称：	HTTP_木马后门_webshell_china_chopper_customize控制命令
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	该事件表明源IP地址主机上的中国菜刀客户端正在向目的IP地址主机上的webshell服务器端发出控制命令。 webshell是web入侵的脚本攻击工具。简单说，webshell就是一个用asp或php等编写的木马后门，攻击者在入侵了一个网站后，经常将这些asp或php等木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。然后攻击者就可以用web的方式，通过该木马后门控制网站服务器，包罗上传下载文件、检察数据库、执行任意法式命令等。webshell可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口通报的，因此不会被防火墙拦截。而且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，管理员较难看收支侵痕迹。
更新时间：	20190622
默认行动：	抛弃

事件名称：	HTTP_木马后门_webshell_jsp_Runtime-reflect
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到源IP主机正向目的主机上传或下载jsp木马
更新时间：	20190622
默认行动：	抛弃

事件名称：	HTTP_fastjson_JSON反序列化_远程代码执行漏洞[CVE-2017-18349]
事件级别：	中级事件
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用fastjsonJSON反序列化远程代码执行漏洞对目的主机进行攻击的行为，试图通过传入精心结构的恶意代码或命令来入侵目的IP主机。 fastjson在1.2.24以及之前版本存在远程代码执行高危宁静漏洞�？⒄咴谑褂�fastjson时，如果编写不妥，可能导致JSON反序列化远程代码执行漏洞。攻击者通过发送一个精心结构的JSON序列化恶意代码，当法式执行JSON反序列化的过程中执行恶意代码，从而导致远程代码执行。
更新时间：	20190622
默认行动：	抛弃

事件名称：	TCP_Oracle_WebLogic_反序列化漏洞[CVE-2015-4852/2018-2628]
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到源IP利用weblogic反序列化漏洞进行攻击的行为 Oracle Weblogic Server是应用法式服务器。 Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0版本中，WLS Security组件允许远程攻击者执行任意命令。攻击者通过向TCP端口7001发送T3协议流量，其中包罗精心结构的序列化Java工具利用此漏洞。此漏洞影响到WLS Security Handler的文件 oracle_common/modules/com.bea.core.apache.commons.collections.jar内一个未知的函数。
更新时间：	20190622
默认行动：	抛弃

事件名称：	HTTP_木马后门_ASP_webshell一句话木马上传
事件级别：	中级事件
宁静类型：	木马后门
事件描述：	检测到源IP主机正向目的主机上传ASP一句话木马的行为攻击者实验向服务器上传ASP一句话木马文件，如果上传乐成将通过一句话木马连接工具对服务器进行控制。
更新时间：	20190622
默认行动：	抛弃

删除事件

1. IMAP_find_缓冲区溢出攻击实验[CVE-2000-0284]
2. IMAP_list_缓冲区溢出攻击实验1[CVE-2000-0284]
3. TCP_Microsoft_UPnP_NOTIFY_缓冲区溢出攻击[CVE-2001-0876]

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号