2021-04-15

宣布时间 2021-04-15
新增事务


事务名称:

TCP_远程代码_Citrix远程代码执行[CVE-2019-19781]

清静类型:

清静误差

事务形貌:

CitrixADC是一款应用交付Controller,用于剖析特定于应用的流量,以便智能地为Web应用程序分派、优化和掩护47(L4-L7)网络流量。CitrixGateway整合了远程会见基础结构,以便跨所有应用程序提供单点登录,无论是在数据中心、云中照旧作为SaaS传输。在CitrixADCCitrixGateway中保存目录遍历误差,允许未授权的攻击者可以举行远程下令攻击。

更新时间:

20210415


事务名称:

HTTP_清静误差_Chromium_V8_JavaScript引擎_远程下令执行

清静类型:

清静误差

事务形貌:

基于Chromium的浏览器的V8JavaScript引擎中,保存一个远程下令执行误差。攻击者可通过控制html加载恶意JavaScript文件,抵达在被攻击者主机上执行恣意下令的效果。但此误差无法突破Chrome沙箱这一清静机制,以是影响有限。Chrome沙箱是浏览器的清静界线,可避免远程代码执行误差在主机上启动程序,该误差单独使用时现在无法逃逸浏览器的沙箱,因此该误差需要与另外的误差(Chrome沙箱逃逸)链接在一起来使用,最终可以实现远程代码执行。

更新时间:

20210415


事务名称:

HTTP_清静误差_TongWeb_文件上传权限隐藏账户登录实验

清静类型:

清静误差

事务形貌:

检测到攻击者使用TongWeb预留的,具有文件上传权限的隐藏账户举行登录实验的行为。TongWeb是海内政企营业普遍应用的WEB应用服务器。此应用保存一个隐藏的用户,且有牢靠的、无法更改的默认密码,具有挪用文件上传接口的权限。攻击者可使用此用户,举行上传恣意文件的危险操作。

更新时间:

20210415


事务名称:

HTTP_可疑行为_Fastjson_dnslog探测

清静类型:

清静审计

事务形貌:

检测到源ip正在使用dnslog探测主机后端是否是fastjson

更新时间:

20210415


新增事务


事务名称:

TCP_木马后门_Win32/Linux_ircBot_毗连

清静类型:

木马后门

事务形貌:

检测到ircBot试图毗连远程服务器。源IP所在的主机可能被植入了ircBot。ircBot是基于irc协议的僵尸网络,主要功效是对指定目的主机提倡DDoS攻击。还可以下载其他病毒到被植入机械。对指定目的主机提倡DDoS攻击。

更新时间:

20210415


事务名称:

HTTP_木马后门_webshell_管理工具_asp控制下令

清静类型:

木马后门

事务形貌:

检测到源IP地址主机上的webshell管理工具客户规则在向目的IP地址主机上的webshell服务器端发出控制下令。webshellweb入侵的剧本攻击工具。简朴来说,webshell就是一个用aspphp等编写的木马后门,攻击者在入侵了一个网站后,经常将这些aspphp等木马后门文件安排在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方法,通过该木马后门控制网站服务器,包括上传下载文件、审查数据库、执行恣意程序下令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交流的数据都是通过80端口转达的,因此不会被防火墙阻挡。并且使用webshell一样平常不会在系统日志中留下纪录,只会在网站的web日志中留下一些数据提交纪录,管理员较难看收支侵痕迹。攻击者可远程控制被上传webshell主机执行恣意操作。

更新时间:

20210415


事务名称:

HTTP_可疑行为_wget_curl下载可疑文件并执行

清静类型:

可疑行为

事务形貌:

检测到源IP主机正在向目的IP主机发送可疑下令,实验控制目的IP主机下载可疑文件并执行。

更新时间:

20210415


事务名称:

HTTP_木马后门_冰蝎3.0毗连

清静类型:

木马后门

事务形貌:

检测到源IP主机正在使用冰蝎3.0毗连目的IP主机的行为。

更新时间:

20210415


删除事务


1. TCP_后门_Win32.Avzhan.DDoS.Bot_毗连_1