东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

2020-07-07

宣布时间 2020-07-09

新增事件

事件名称：	HTTP_代码执行_Liferay_Portal_远程代码执行[CVE-2020-7961]
宁静类型：	宁静漏洞
事件描述：	Liferay是一个开源的Portal(认证)产物,提供对多个独立系统的内容集成,为企业信息、流程等的整合提供了一套完整的解决方案,和其他商业产物相比,Liferay有着很多优良的特性,而且免费,在全球都有较多用户。在Liferay6.1.x-7.2.x版本中存在通过未授权访问的api结构json语句导致反序列化漏洞进而执行攻击者代码命令的漏洞。
更新时间：	20200707

事件名称：	HTTP_F5_BIG_IP_远程代码执行漏洞[CVE-2020-5902]
宁静类型：	宁静漏洞
事件描述：	F5 BIG-IP是美国F5公司的一款集成网络流量管理，应用法式宁静管理，负载均衡等功效的应用交付平台。
更新时间：	20200707

事件名称：	DNS_后门_Worm.Morto_连接
宁静类型：	蠕虫病毒
事件描述：	检测到蠕虫Morto试图连接远程服务器。源IP所在的主机可能被植入了Morto。 Morto是一种蠕虫，利用RDP即远程桌面协议来流传。Morto里内嵌了常见弱口令，利用弱口令登录远程桌面乐成，即把自身流传过去。截止到目前，在国内仍然非�；钤�。 Morto通过DNS协议与其C&C通信，可以执行C&C发送来的种种命令，如下载、DDoS攻击等。
更新时间：	20200707

事件名称：	HTTP_宁静漏洞_Apache_Shiro_身份验证绕过漏洞[CVE-2020-11989]
宁静类型：	宁静漏洞
事件描述：	Apache Shiro是一个强大且易用的Java宁静框架，它可以用来执行身份验证、授权、密码和会话管理。目前常见集成于种种应用中进行身份验证，授权等。对于Apache Shiro 1.5.3之前的版本，当将Apache Shiro与Spring控制器一起使用时，攻击者特制请求可能会导致身份验证绕过。
更新时间：	20200707

事件名称：	HTTP_通达OA_前台任意用户登录漏洞
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在使用HTTP_通达OA_前台任意用户登录漏洞对目的IP主机进行攻击的行为。该漏洞可造成前台无需密码登录管理员账号，攻击者利用漏洞进入后台后可配合文件上传漏洞获取服务器控制权，危害严重。
更新时间：	20200707

修改事件

事件名称：	HTTP_类菜刀流量_响应
宁静类型：	木马后门
事件描述：	中国菜刀是中国黑客圈内使用非常广泛的一款Webshell管理工具。中国菜刀用途十分广泛,支持多种语言,小巧实用，具有文件管理（有足够的权限时候可以管理整个磁盘/文件系统），数据库管理，虚拟终端等功效。对于这类管理工具，如果没有大量的修改服务端脚本代码，其返回流量都市有一些常见的特征，本条规则将常见的配合特征提取出来进行防御性报警。由于此事件为较为宽泛的通用特征，可能存在误报，请参考特征性质判断字段进行判断。
更新时间：	20200707

事件名称：	HTTP_认证请求
宁静类型：	宁静审计
事件描述：	该事件表明有用户正在向HTTP服务器发送基本认证请求。 HTTP基本认证差异于SSL，SSL提供对敏感数据加密传输的机制，而HTTP基本认证提供了对受�；ぷ试吹姆梦士刂萍颇�。在HTTP协议进行通信的过程中，HTTP协议界说了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份认证的要领。当一个客户端向HTTP服务器进行数据请求时，如果客户端未被认证，则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证，以决定用户是否合法。客户端在接收到HTTP服务器的身份认证要求后，会提示用户输入用户名及密码，客户端将用户名和密码用“：”合并，并将合并后的字符串用BASE64加密为密文，并于每次请求数据时，将密文附加于请求头（Request Header）中。HTTP服务器在每次收到请求包后，凭据协议取得客户端附加的用户信息（BASE64加密的用户名和密码），解开请求包，对用户名及密码进行验证，如果用户名及密码正确，则凭据客户端请求，返回客户端所需要的数据；否则，返回错误代码或重新要求客户端提供用户名及密码。 HTTP基本认证的目标是提供简单的用户验证功效，其认证过程简单明了，适合于对宁静性要求不高的系统或设备中。
更新时间：	20200707

事件名称：	TCP_SSH实验登录
宁静类型：	木马后门
事件描述：	检测到源IP地址主机正在向目的IP地址主机进行SSH登录口令猜解的行为。 SSH 为 Secure Shell 的缩写，由 IETF 的网络事情小组（Network Working Group）所制定；SSH 为建立在应用层和传输层基础上的宁静协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供宁静性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个法式，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台包罗HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平台，都可运行SSH。攻击者经�；崾褂靡恍┍┝ζ平夤ぞ呒由厦苈胱值涞姆绞嚼雌平夥衿鞯�SSH登录用户及口令。口令穷举探测类事件界说为：在源IP地址与目的IP地址相同的情况下，统计单元时间内登录失败的次数，默认为一分钟内登录失败的次数凌驾20次，就会触发口令穷举事件，该事件的默认行动是阻断源地址。需特别说明的是，若IPS或WAF设备串行部署在启用NAT(Network Address Translation，网络地址转换)的网络环境中，多个真实的源IP可能被转换成一个源IP，极端情况下，多个用户的正常登陆失败实验也可能会触发口令穷举探测事件，此时可以考虑将该事件的默认响应行动修改为通过，以免影响正常业务。
更新时间：	20200707

事件名称：	HTTP_后门_Bitter.Rat(蔓灵花)_连接
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了Bitter。
更新时间：	20200707

事件名称：	HTTP_通用_目录穿越漏洞 [CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在实验对目的IP主机进行目录穿越漏洞攻击实验的行为。目录穿越漏洞能使攻击者绕过Web服务器的访问限制，对web根目录以外的文件夹，任意地读取甚至写入文件数据。
更新时间：	20200707

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号