2019-10-22

宣布时间 2019-10-22

新增事务


事务名称:

HTTP_木马后门_webshell_Jscript上传后门程序

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到源IP地点主机正在向目的IP地点主机传送可疑的webshell文件。

webshellweb入侵的剧本攻击工具。简朴说,webshell就是一个用aspphp等编写的木马后门,攻击者在入侵了一个网站后,经常将这些aspphp等木马后门文件安排在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方法,通过该木马后门控制网站服务器,包括上传下载文件、审查数据库、执行恣意程序下令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交流的数据都是通过80端口转达的,因此不会被防火墙阻挡。并且使用webshell一样平常不会在系统日志中留下纪录,只会在网站的web日志中留下一些数据提交纪录,治理员较难看收支侵痕迹。

更新时间:

20191022

默认行动:

丢会话

















事务名称:

HTTP_后门_Win32.SaefkoAgentRAT _毗连

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

检测到木马试图毗连远程服务器。

SaefkoAgent 是一个远控程序,使用C#语言编写,运行后可以完全控制被熏染机械,包括上传窃密信息,屏幕截图,下载文件执行等功效。

更新时间:

20191022

默认行动:

丢会话











事务名称:

TCP_mysql_authbypass

事务级别:

中级事务

清静类型:

网络数据库攻击

事务形貌:

当毗连MariaDB/MySQL时,输入的密码会与期望的准确密码较量,由于不准确的处置惩罚,会导致即即是memcmp()返回一个非零值,也会使MySQL以为两个密码是相同的。 也就是说只要知道用户名,一直实验就能够直接登入SQL数据库。凭证通告说法约莫256次就能够蒙对一次。并且误差使用工具已经泛起。

更新时间:

20191022

默认行动:

丢会话












事务名称:

HTTP_Tunna隧道毗连

事务级别:

中级事务

清静类型:

木马后门

事务形貌:

Tunna:一款神奇的工具,它可以通过HTTP封装隧道通讯任何TCP,以及用于绕过防火墙情形中的网络限制。

更新时间:

20191022

默认行动:

丢会话












修改事务


事务名称:

UDP_Microsoft_Windows_DNS剖析远程代码执行误差[MS11-030][CVE-2011-0657]

事务级别:

中级事务

清静类型:

清静误差

事务形貌:

检测到源IP主机试图通过MS11-030误差攻击目的IP主机。一旦攻击乐成,攻击者可以用NetworkService运行恣意代码。

Microsoft Windows在实现上保存DNS剖析远程代码执行误差。

DNS客户端服务处置惩罚特制的LLMNR请求时保存一个远程代码执行误差,乐成使用此误差的攻击者可以用NetworkService运行恣意代码。攻击者可以装置程序;审查、更改或删除数据;或以完全用户权限建设新账户。

更新时间:

20191022

默认行动:

丢会话
















删除事务


1、HTTP_fastjson-blacklist1

2、HTTP_fastjson-blacklist2