东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

2020-11-24

宣布时间 2020-11-24

新增事件

事件名称：	HTTP_木马后门_Linux.Ngioweb_连接
宁静类型：	木马后门
事件描述：	检测到Ngioweb试图连接远程服务器，请求第二阶段的C&C。源IP所在的主机可能被植入了Ngioweb。Ngioweb是一个Linux系统下的Proxy Botnet，主要功效是在受害者机器上提供反向连接。共支持4个命令：WAIT、CONNECT、DISCONNECT、CERT。目前已经视察到有大量部署WordPress的Web服务器被植入Linux.Ngioweb。在受害者机器上提供反向连接。
更新时间：	20201124

事件名称：	HTTP_Hadoop_YARN_ResourceManager未授权访问漏洞
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用hadoop YARN ResourceManager存在的未授权访问漏洞进行攻击的行为
更新时间：	20201124

事件名称：	HTTP_木马后门_XDDown(XDSpy)_连接
宁静类型：	木马后门
事件描述：	检测到组件XDDown试图连接服务器，源IP所在的主机可能被植入了XDSpy组织利用的后门,主要攻击东欧和塞尔维亚的政府组织并从中窃取敏感文件。XDSpy APT 组织从2011年开始活跃，但直到近日才被发现，XDSpy APT组织的攻击目标主要位于东欧和塞尔维亚，受害者主要是军事、外交相关的政府机构以及少量的私营企业。
更新时间：	20201124

事件名称：	HTTP_木马后门_D_Regsvr32(KimsukyAPT)_木马连接
宁静类型：	木马后门
事件描述：	Kimsuky 组织是总部位于朝鲜的 APT 组织，又称 “Black Banshee”、“BabyShark” 等，至少从 2013 年开始活跃，该组织恒久针对韩国政府、新闻等机构进行攻击活动，经常使用带有漏洞的 hwp 文件、恶意宏文件以及释放载荷的 PE 文件等恶意载荷。
更新时间：	20201124

事件名称：	HTTP_apache_solr_xxe漏洞（攻击乐成）[CVE-2018-1308][CNNVD-201804-415]
宁静类型：	注入攻击
事件描述：	检测到源IP利用Apache solr正在利用xxe漏洞进行文件读取操作，Apache Solr是一个开源的搜索服务，使用Java语言开发，主要基于HTTP和Apache Lucene实现的。
更新时间：	20201124

事件名称：	HTTP_宁静漏洞_Discuz!X系列转换工具任意代码写入漏洞
宁静类型：	宁静漏洞
事件描述：	Discuz!X系列转换工具任意代码写入漏洞是攻击者对注释部门利用换行符导致注入恶意PHP代码，攻击乐成后可以获得目标主机的 Webshell ，进一步获得网站的控制权。
更新时间：	20201124

修改事件

事件名称：	HTTP_WebLogic_任意文件上传漏洞[CVE-2019-2618]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用任意文件上传漏洞攻击目的IP主机的行为，CVE-2019-2618漏洞主要是利用了WebLogic组件中的DeploymentService接口，该接口支持向服务器上传任意文件。攻击者突破了OAM（Oracle Access Management）认证，设置wl_request_type参数为app_upload，结构文件上传格式的POST请求包，上传"font-family:宋体">木马文件，进而可以获得整个服务器的权限。
更新时间：	20201124

事件名称：	HTTP_Weblogic_任意文件读取漏洞[CVE-2019-2615]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用Weblogic任意文件读取漏洞对目的主机进行攻击的行为。Weblogic_任意文件读取漏洞接口是文件下载相关功效使用的接口，也是weblogic server中内部使用的正常功效，所以该漏洞需要weblogic的用户名密码，登录后可窃取敏感信息，获取管理员权限。
更新时间：	20201124

事件名称：	TCP_JavaRMI反序列化_远程命令执行漏洞[CVE-2017-3241]
宁静类型：	宁静漏洞
事件描述：	检测到源IP利用TCP_JavaRMI反序列化远程命令执行漏洞进行攻击的行为，JavaRMI反序列化远程命令执行漏洞进行攻击的行为允许远程攻击者执行任意命令。
更新时间：	20201124

事件名称：	HTTP_fastjson_JSON反序列化_远程代码执行漏洞[CVE-2017-18349]
宁静类型：	宁静漏洞
事件描述：	Fastjson是一个Java库，可以将Java工具转换为JSON格式，fastjson在1.2.24以及之前版本存在远程代码执行高危宁静漏洞。攻击者通过发送一个精心结构的JSON序列化恶意代码，当法式执行JSON反序列化的过程中执行恶意代码，从而导致远程代码执行。
更新时间：	20201124

事件名称：	DNS_木马_NetReaper_连接
宁静类型：	木马后门
事件描述：	检测到失陷主机上的木马试图连接远程服务器（C&C）。源IP所在的主机可能被植入了NetReaper木马。
更新时间：	20201124

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号