东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

2021-04-06

宣布时间 2021-04-07

新增事件

事件名称：	TCP_僵尸网络_Mirai.Putin_连接
宁静类型：	木马后门
事件描述：	检测到僵尸网络Mirai变种Putin试图连接C&C服务器。源IP所在的主机可能被植入了Mirai变种Putin。Mirai僵尸网络蠕虫主要通过扫描防护能力不强的物联网设备（IoT），包罗：路由器、网络摄像头、DVR设备等等，IoT设备主要是MIPS、ARM等架构，因存在默认密码、弱密码、严重漏洞未及时修复等因素，导致被攻击者植入木马。窃取敏感信息，获取管理员权限。由于源代码已经果然，Mirai泛起了很多变种，本事件针对其变种Putin。
更新时间：	20210406

事件名称：	HTTP_宁静漏洞_SAP_NetWeaver_未授权任意用户创建漏洞[CVE-2020-6287][CNNVD-202007-800]
宁静类型：	宁静漏洞
事件描述：	SAP NetWeaver AS for Java Web组件中缺少身份验证，因此允许攻击者在受影响的SAP系统上进行高特权活动。如果被乐成利用，则未经身份验证的远程攻击者可以通过创建具有最大特权的新SAP用户，绕过所有访问和授权控制，从而完全控制SAP系统。
更新时间：	20210406

事件名称：	HTTP_宁静漏洞_禅道PMS_文件上传漏洞
宁静类型：	宁静漏洞
事件描述：	禅道PMS（ZenTao Project Management System）是一款中小型企业项目管理工具，集产物管理、项目管理、测试管理于一身，同时包罗事务管理、组织管理等诸多功效。在禅道PMS小于12.4.2的版本中存在文件上传漏洞。登陆后台的恶意攻击者可以通过fopen/fread/fwrite要领读取或上传任意文件，乐成利用漏洞可以读取目标系统敏感文件以及获得系统管理权限。
更新时间：	20210406

事件名称：	HTTP_JetBrains目录泄露
宁静类型：	CGI攻击
事件描述：	检测到源IP利用JetBrains的.idea进行目录信息窃取。JetBrains是一家捷克的软件开发公司，旗下涵盖种种开发产物
更新时间：	20210406

事件名称：	HTTP_socat_反弹shell命令注入
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在向目的主机进行socat反弹shell命令注入攻击。反弹连接，是指攻击者指定服务端，受害者主机主动连接攻击者的服务端法式。反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。攻击者攻击乐成后可以远程执行系统命令。
更新时间：	20210406

事件名称：	ICMP_木马_可疑ICMP隧道_连接
宁静类型：	可疑行为
事件描述：	发现可疑的的icmp流量。源IP可能被植入了icmp隧道工具，如icmpsh、icmptunnel等。
更新时间：	20210406

事件名称：	HTTP_木马后门_webshell_Yu1uPHPSh3ll_上传后门法式
宁静类型：	木马后门
事件描述：	检测到源IP地址主机正在向目的IP地址主机传送可疑的Yu1uPHPSh3llwebshell文件。webshell是web入侵的脚本攻击工具。简单说，webshell就是一个用asp或php等编写的木马后门，攻击者在入侵了一个网站后，经常将这些asp或php等木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。然后攻击者就可以用web的方式，通过该木马后门控制网站服务器，包罗上传下载文件、检察数据库、执行任意法式命令等。webshell可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口通报的，因此不会被防火墙拦截。而且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，管理员较难看收支侵痕迹。
更新时间：	20210406

事件名称：	HTTP_Fastadmin_chunkid分片代码执行漏洞
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用fastadmin的分片上传功效存在的漏洞硬编码后缀来命名和生存文件，并执行任意代码。fastadmin是基于ThinkPHP5的内容管理系统(含小法式),可自界说内容模型、自界说单页、自界说表单、自界说会员宣布、付费阅读、小法式等功效,整合FastAdmin会员中心。
更新时间：	20210406

事件名称：	HTTP_木马后门_webshell_safedog_d连接
宁静类型：	木马后门
事件描述：	检测到源IP主机正在向目的IP主机提倡safedog_d连接。safedog_d为大马，访问该大马可以获得webshell的网页，在该页面上完成可反弹端口，sql执行等操作。
更新时间：	20210406

事件名称：	HTTP_宁静漏洞_JIRA_未授权SSRF漏洞[CVE-2017-9506][CNNVD-201706-286]
宁静类型：	宁静漏洞
事件描述：	JIRA是Atlassian公司出品的项目与事务跟踪工具，被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等事情领域。Jira的plugins/servlet/oauth/users/icon-uri资源存在SSRF漏洞，主要为JIRA的普通用户均可乐成利用此漏洞以Jira服务端的身份访问内网资源。
更新时间：	20210406

修改事件

事件名称：	TCP_冰蝎_php_webshell_上传
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正向目的主机上传冰蝎phpwebwhell木马攻击者可远程控制被上传webshell主机执行任意操作。
更新时间：	20210406

事件名称：	TCP_ZooKeeper_未授权访问漏洞
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用ZooKeeper存在的未授权访问漏洞进行攻击的行为。ZooKeeper是一个漫衍式的，开放源码的漫衍式应用法式协调服务，是Google的Chubby一个开源的实现，是Hadoop和Hbase的重要组件。
更新时间：	20210406

事件名称：	DNS_木马后门_CobaltStrike.Stager_代码下载执行
宁静类型：	木马后门
事件描述：	检测到由黑客工具CobaltStrike生成的后门Stager试图连接远程服务器下载木马CobaltStrike.Beacon,源IP所在的主机可能被植入了CobaltStrike.Stager。CobaltStrike.Beacon执行后攻击者可利用CobaltStrike完全控制受害机器，并进行横向移动。CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket署理、提权、钓鱼、远控木马等功效。该工具几乎笼罩了APT攻击链中所需要用到的各个技术环节，深受黑客们的喜爱。
更新时间：	20210406

事件名称：	TCP_木马后门_ASPX_reGeorg-v1.0_后门上传
宁静类型：	木马后门
事件描述：	检测到源IP主机正向目的主机上传reGeorg-v1.0木马后门文件。reGeorg-v1.0木马是黑客常用的一种内网渗透流量转发木马，攻击者通过上传该木马文件到Web服务器，然后在当地通过特定攻击脚本连接服务端的木马文件进行内网流量转发。攻击者企图通过这种方式绕过内网防护设备以Web服务器为跳板攻击其他内网主机，试图获取内网其他服务器的控制权。上传木马后门，进而远程连接木马后门攻击内网其他主机。
更新时间：	20210406

事件名称：	HTTP_Oracle_Weblogic_远程代码执行漏洞[CVE-2020-14882][CVE-2020-14750]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用OracleWebLogic远程代码执行漏洞，未经身份验证的攻击者可以通过结构恶意HTTP请求利用该漏洞，乐成利用此漏洞可能接管OracleWebLogicServer。
更新时间：	20210406

事件名称：	TCP_后门_MSIL.LimeRat_连接
宁静类型：	木马后门
事件描述：	检测到后门试图连接远程服务器。源IP所在的主机可能被植入了LimeRat。LimeRat是一个基于CSharp的远控，运行后可完全控制被植入机器�？赏耆刂票恢踩牖�。
更新时间：	20210406

事件名称：	HTTP_木马后门_CobaltStrike.Powershell_代码下载执行
宁静类型：	木马后门
事件描述：	检测到由黑客工具CobaltStrike生成的后门powershell命令试图连接远程服务器下载木马CobaltStrike.Beacon,源IP所在的主机可能执行了后门Powershell命令。CobaltStrike.Beacon执行后攻击者可利用CobaltStrike完全控制受害机器，并进行横向移动。CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。CobaltStrike集成了端口转发、端口扫描、socket署理、提权、钓鱼、远控木马等功效。该工具几乎笼罩了APT攻击链中所需要用到的各个技术环节，深受黑客们的喜爱。窃取敏感信息，完全访问控制
更新时间：	20210406

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号