东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

每周升级通告-2021-05-11

宣布时间 2021-05-12

新增事件

事件名称：	TCP_可疑行为_tracert命令_远程命令执行
宁静类型：	可疑行为
事件描述：	检测到主机正在向源ip返回体中包罗系统命令tracert的执行回显，可能是黑客攻击导致系统执行命令的返回，可能主机已经失陷
更新时间：	20210511

事件名称：	TCP_后门_Rotajakiro.Oceanlotus(海莲花)_连接
宁静类型：	木马后门
事件描述：	检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门Rotajakiro。Rotajakiro疑似是APT组织海莲花所的使用后门，功效非常强大，运行后可以完全控制被熏染机器。
更新时间：	20210511

事件名称：	HTTP_宁静漏洞_Opentsdb_远程代码执行漏洞[CVE-2020-35476][CNNVD-202012-1211]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用Opentsdb远程命令执行漏洞对目的主机进行攻击的行为。OpenTSDB(OpenTimeSeriesDataBase)是基于HBASE构建的漫衍式、可扩展的时间序列数据库。OpenTSDB可以获取电力行业、化工行业、物联网行业等种种型实时监测、检查与分析设备所收罗、发生的时间序列数据，并提供存储、索引以及图形化服务，使其易于访问和可视化。OpenTSDB2.4.0及之前版本中存在远程代码执行漏洞，攻击者可通过结构恶意请求实现远程代码执行。
更新时间：	20210511

事件名称：	HTTP_可疑行为_copy_命令执行回显
宁静类型：	宁静漏洞
事件描述：	当前主机正在返回copy命令执行结果，copy是主机复制文件的命令，攻击者常用命令，如果返回体里面泛起相关格式的内容，则可能主机已被攻陷
更新时间：	20210511

事件名称：	HTTP_天融信数据防泄漏系统_越权修改管理员漏洞
宁静类型：	宁静漏洞
事件描述：	检测到源ip正在利用天融信数据防泄漏系统的越权漏洞进行管理员密码修改；天融信数据防泄漏系统(简称:TopDLP)是以深度内容识别技术为核心,在数据存储、传输和使用过程中,发现并识别敏感数据隐患,确保敏感数据合法使用,防止敏感数据泄漏的数据宁静�；は低�。
更新时间：	20210511

事件名称：	HTTP_APT攻击_Bitter(蔓灵花)_Win32.Downloader_连接C2
宁静类型：	木马后门
事件描述：	蔓灵花（BITTER）是疑似具有南亚配景的APT组织，因其早期特马通信的数据包头部以“BITTER”作为标识而得名。该组织主要针对周边国家地域的政府，军工业，电力，核等单元进行攻击，以窃取敏感资料为目的，具有强烈的政治配景。该事件是一个.NET平台的Downloader,获取当前计算机用户名、系统版本、系统位数、MAC地址等信息，将获取的信息拼接上传到C2服务器，并从C2服务器下载文件执行。
更新时间：	20210511

事件名称：	HTTP_可疑行为_everything搜索页面被访问
宁静类型：	CGI攻击
事件描述：	Everything是Windows上一款搜索引擎，由于配置中开启了ETP/FTP和HTTP服务，并未设置账号密码，导致可以访问服务器的文件。如果攻击ip是授权ip，则无需关注。
更新时间：	20210511

事件名称：	TCP_可疑行为_nslookup命令_远程命令执行
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在对目的IP执行nslookup命令，nslookup用于查询DNS的记录，查询域名解析是否正常，在网络故障时用来诊断网络问题，也可被攻击者用于探测机器是否可以联通外网。
更新时间：	20210511

修改事件

事件名称：	DNS_木马_可疑矿池域名解析请求
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了挖矿木马。挖矿木马实验连接矿池，受害主机变慢。
更新时间：	20210511

事件名称：	TCP_冰蝎_php_webshell_上传
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正向目的主机上传冰蝎phpwebwhell木马,攻击者可远程控制被上传webshell主机执行任意操作。
更新时间：	20210511

事件名称：	HTTP_Citrix_ADC_远程代码执行漏洞[CVE-2020-8193][CNNVD-202007-367]
宁静类型：	宁静漏洞
事件描述：	检测到源IP正在利用Citrix_ADC的权限绕过漏洞，通过创建session，进而提权进行代码执行攻击，最后导致主机失陷，被攻击者接管。
更新时间：	20210511

事件名称：	HTTP_宁静漏洞_泛微OA8_前台SQL执行
宁静类型：	注入攻击
事件描述：	泛微OA是国内公司宣布的一款移动办公正台。检测到攻击者正在利用泛微OA8前台的SQL执行漏洞，通过此漏洞可查询出后台密码等数据库敏感数据。
更新时间：	20210511

事件名称：	TCP_后门_Win32.Salgorea(海莲花)_连接
宁静类型：	木马后门
事件描述：	检测到木马试图连接远程服务器。源IP所在的主机可能被植入了后门Salgorea。Salgorea是海莲花所使用的强大后门，主要通过邮件流传。Salgorea运行后，会实验获取敏感信息，也可执行C&C返回指令，去下载其他后门。窃取敏感信息。
更新时间：	20210511

事件名称：	TCP_僵尸网络_IoT.Moobot_连接
宁静类型：	木马后门
事件描述：	检测到Moobot试图连接C&C服务器。源IP主机可能被植入了僵尸网络Moobot。Moobot是一个IoT僵尸网络，主要功效是对指定目标提倡DDoS攻击，通过种种漏洞流传自身。
更新时间：	20210511

事件名称：	HTTP_宁静漏洞_亿邮电子邮件系统_远程命令执行
宁静类型：	宁静漏洞
事件描述：	检测到源ip主机正在利用亿邮电子邮件系统使用POST要领在目的ip主机执行远程代码执行操作，亿邮电子邮件系统是由北京亿中邮信息技术有限公司（以下简称亿邮公司）开发的一款面向中大型集团企业、政府、高校用户的国产邮件系统。亿邮电子邮件系统接纳了自主研发MTA引擎、漫衍式文件系统存储方式、多对列机制、ECS存储子系统、Cache系统等多项核心技术，提供了富厚的邮件功效。
更新时间：	20210511

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号