本周事件库
新增事件
事件名称:
TCP_Dasan_GPON_ONT_WiFi_Router缓冲区溢出漏洞
事件级别:
中级事件
安全类型:
缓冲溢出
事件描述:
检测到源IP主机正试图通过Dasan GPON ONT WiFi Router中存在的缓冲区溢出漏洞攻击目的IP主机的行。Dasan GPON ONT WiFi Router是韩国DASAN Networks公司的一款无线路由器设备。Dasan GPON ONT WiFi Router H640X 12.02-0112版本、2.77p1-1124版本和3.03p2-1146版本中存在缓冲区溢出漏洞。远程攻击者可通过向/cgi-bin/login_action.cgi文件中的‘login_action’函数发送较长的POST请求利用该漏洞执行任意代码。
更新时间:
20180418
默认动作:
丢弃
 
 
事件名称:
HTTP_Java动态调用_java.lang.ProcessBuilder_远程代码执行
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源目标IP正在使用Java动态调用java.lang.ProcessBuilder方式程代码执行攻的行。在Java中,程序开通常会通过动态调用java.lang.ProcessBuilder方式执行外部的Shell命令。ProcessBuilder是java 5.0引入的,start()方法返回Process的一个实例。通常在Java相关的应用系统中,如果处理外部命令执行时,没有对用户的输入做合理有效的过滤,攻击者可以利用这个漏洞远程注入命令或代码并执行。诸如Struts2、Spring这些应用曾经被披露出存在Java远程代码执行漏洞,例如Ognl表达式和SpEL表达式的任意代码执行漏洞。击者通过动态调用java.lang.ProcessBuilder方式在有缺陷应用中执行任意代码或命令,进一步完全控制目标服务器。
更新时间:
20180418
默认动作:
丢弃
 
 
事件名称:
HTTP_Java静态调用_java.lang.Runtime_远程代码执行
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源目标IP正在使用Java静态调用java.lang.Runtime方式进行远程代码执行攻击的行为。在Java中,程序开发人员通常会通过静态调用java.lang.Runtime方式执行外部的Shell命令。Runtime类是Java程序的运行时环境,开发者可以通过getRuntime()方法获取当前Runtime运行时对象的引用。通常在Java相关的应用系统中,如果处理外部命令执行时,没有对用户的输入做合理有效的过滤,攻击者可以利用这个漏洞远程注入命令或代码并执行。诸如Struts2、Spring这些应用曾经被披露出存在Java远程代码执行漏洞,例如Ognl表达式和SpEL表达式的任意代码执行漏洞。攻击者通过静态调用java.lang.Runtime方式在有缺陷应用中执行任意代码或命令,进一步完全控制目标服务器。
更新时间:
20180418
默认动作:
丢弃
 
 
事件名称:
HTTP_Drupal_Core_远程代码执行漏洞(CVE-2018-7600)
事件级别:
中级事件
安全类型:
安全漏洞
事件描述:
检测到源IP主机正在利用Drupal Core程代码执行漏洞程代码执行漏洞目的主机行攻的行。Drupal是一个十分流行的开源的CMS。Drupal Core 8.3.x版本与8.4.x版本存在PHP远程代码执行漏洞,攻击者可以发送精心构造的攻击payload,远程执行任意PHP代码。漏洞的原因是Drupal在AJAX上传处理中,会对父控件进行遍历渲染,由于没有对输入参数进行过滤,导致外部可以构造预设指令,执行回调函数。
更新时间:
20180418
默认动作:
丢弃
修改事件
事件名称:
UDP_后门_PlugX_RAT_连接
事件级别:
中级事件
安全类型:
木马后门
事件描述:
检测到木马试图连接远程服务器。 源IP所在的主机可能被植入了木马。 PlugX是一个功能异常强大的后门,可以完全控制被感染机器。一般用来发动有针对性的攻击,允许攻击者收集有价值的敏感信息。
更新时间:
20180418
 
 
默认动作:
丢弃
事件名称:
TCP_Oracle_WebLogic_反序列化漏洞[CVE-2015-4852/2018-2628]
事件级别:
级事件
安全类型:
安全漏洞
事件描述:
检测到源IP利用weblogic反序列化漏洞进行攻击的行为 Oracle Weblogic Server是应用程序服务器。 Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0版本中,WLS Security组件允许远程攻击者执行任意命令。攻击者通过向TCP端口7001发送T3协议流量,其中包含精心构造的序列化Java对象利用此漏洞。此漏洞影响到WLS Security Handler的文件oracle_common/modules/com.bea.core.apache.commons.collections.jar内一个未知的函数。
更新时间:
20180418
默认动作:
丢弃
历史事件库更新

  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2018 版权所有 京ICP备05032414号 京公网安备11010802024551号