每周升级通告-2022-11-22

宣布时间 2022-11-22
新增事务



事务名称:    TCP_后门_Beacon.Payload_毗连
清静类型:    木马后门
事务形貌:    检测到目的IP主机试图向源IP主机传输后门 。常见的Beacon包括CobaltStrike的Beacon,以及Metasploit的Meterpreter等 。
更新时间:    20221122



事务名称:    HTTP_文件操作攻击_Apache_Flink_小于1.11.2_恣意文件读取[CVE-2020-17519][CNNVD-202101-271]
清静类型:    清静误差
事务形貌:    ApacheFlink1.11.0,1.11.1,1.11.2版本允许攻击者通过JobManager历程的RESTAPI读取JobManager外地文件系统上的任何文件(JobManager历程能会见到的) 。
更新时间:    20221122



事务名称:    HTTP_信息泄露_SQLiteManager_1.2.0_目录穿越[CVE-2007-1232]
清静类型:    CGI攻击
事务形貌:    检测到源IP主机正在使用SQLiteManager的目录穿越误差会见敏感文件 。SQLiteManager1.2.0版本中的目录遍历误差允许远程攻击者通过SQLiteManager_currentTheme中的..读取恣意文件 。
更新时间:    20221122



事务名称:    HTTP_提权攻击_Apache_CouchDB_JSON_下令执行[CVE-2017-12636][CNNVD-201711-486]
清静类型:    清静误差
事务形貌:    检测到源ip主机正在使用目的主机上ApacheCouchDB的Restful的API接口保存的误差,结构恶意Json名堂的数据,从而使非管理员用户以数据库系统用户的身份会见服务器上的恣意shell下令 。CouchDB是一个使用JSON作为存储名堂,JavaScript作为盘问语言,MapReduce和HTTP作为API的NoSQL数据库 。CouchDB接纳基于Erlang的JSON剖析器,与基于JavaScript的JSON剖析器差别,CouchDB可以在数据库中提交带有角色重复键的_users文档用于实现会见控制,甚至包括体现管理用户的_admin角色 。
更新时间:    20221122



事务名称:    HTTP_提权攻击_致远OA_ajax.do_未授权会见
清静类型:    清静误差
事务形貌:    检测到源IP正在使用致远OAV8.0以下版本的未授权误差获取权限来举行进一步文件上传的攻击;致远OA办公自动化软件,用于OA办公自动化软件的开发销售 。
更新时间:    20221122



事务名称:    HTTP_文件操作攻击_若依CMS_小于4.5.1_文件读取[CNVD-2021-01931]
清静类型:    清静误差
事务形貌:    检测到源ip主机正在使用若依CMS<4.5.1版本中的恣意文件读取误差,登录后台后,可以读取服务器上的恣意文件 。若依管理系统是基于SpringBoot的权限管理系统 。
更新时间:    20221122



事务名称:    HTTP_提权攻击_Microsoft_Exchange_Servers_下令执行[CVE-2022-40140][CVE-2022-41082]
清静类型:    清静误差
事务形貌:    ExchangeServer是微软公司的一套电子邮件服务组件,是个新闻与协作系统 。该系统保存误差,可在经由ExchangeServer身份验证并且具有PowerShell操作权限的情形下使用这些误差(组合使用)远程执行恶意代码:CVE-2022-41040:MicrosoftExchangeServer服务器端请求伪造(SSRF)误差,CVE-2022-41082:MicrosoftExchangeServer远程代码执行(RCE)误差 。
更新时间:    20221122



事务名称:    HTTP_提权攻击_Oracle_WebLogic_反序列化绕过[CVE-2019-2725][CNNVD-201904-1251]
清静类型:    清静误差
事务形貌:    OracleWebLogicServer是OracleCorporation目今开发的JavaEE应用服务器 。OracleWebLogicServer10.3.6.0.0、OracleWebLogicServer12.1.3.0.0版本保存反序列化误差,该误差绕过CVE-2019-2725补丁,误差保存wls-wsat和bea_wls9_async_response组件,未经授权的攻击者可以发送全心结构的恶意HTTP请求,获取服务器权限,实现远程代码执行 。
更新时间:    20221122



事务名称:    SMTP_窃密木马_Snake_Keylogger_上传窃密信息
清静类型:    木马后门
事务形貌:    检测到SnakeKeylogger窃密木马正在向远程服务器上传窃密的种种信息 。Snake恶意软件是一种以.NET编程语言实现的信息窃取恶意软件 。通过网络垂纶邮件分发 。Snake是一种功效富厚的恶意软件,对用户的隐私和清静组成重大威胁 。Snake具有纪录击键以及剪贴板数据、屏幕截图和凭证偷窃功效 。Snake可以从50多个应用程序中窃取凭证,其中包括FTP客户端、邮件客户端、通讯平台和Web浏览器等应用程序 。Snake支持通过多种协议举行上传数据,例如FTP、SMTP和Telegram三种方法上传窃取的信息 。
更新时间:    20221122



事务名称:    HTTP_文件操作攻击_泛微OA_fileDownload.jsp_文件下载
清静类型:    清静误差
事务形貌:    检测到源ip正在使用目的主机上的泛微OAfileDownload.jsp保存的恣意文件下载误差 。攻击者可以通过..\/来绕过泛微对../的限制,从而实现恣意文件下载 。泛微OA是海内公司宣布的一款移动办公正台 。
更新时间:    20221122



事务名称:    HTTP_文件操作攻击_泛微OA_Ecology_weaver.eui.EuiServlet_文件上传
清静类型:    清静误差
事务形貌:    检测到源ip正在使用目的主机上的泛微OA_Ecology上后台保存的文件上传误差上传恣意文件,从而获取权限 。泛微OA是海内公司宣布的一款移动办公正台 。
更新时间:    20221122



事务名称:    HTTP_提权攻击_Apache_Spark_代码执行[CVE-2020-9480]
清静类型:    清静误差
事务形貌:    ApacheSpark是一个开源集群运算框架 。在ApacheSpark2.4.5以及更早版本中Spark的认证机制保存缺陷,导致共享密钥认证失效 。攻击者使用该误差,可在未授权的情形下,在主机上执行下令,造成远程代码执行 。
更新时间:    20221122



修改事务



事务名称:    TCP_后门_Yakes.qwq毗连
清静类型:    其他事务
事务形貌:    该事务批注,木马试图毗连远程服务器 。该事务源IP主机可能被植入了后门Yakes.qwq 。Yakes.qwq是基于IRC协议的后门,运行后,把自身代码插入到系统正常历程 。毗连远程IRC下令和控制服务器,吸收其指令,并执行 。如下载恶意软件,提倡DDOS攻击 。本后门运行后,首先建设假接纳站文件夹,并拷贝自身到该文件夹下,抵达隐藏的目的 。设置注册表,实现开机启动隐藏在假接纳站里的后门程序 。吸收并执行IRC服务器的指令 。
更新时间:    20221122



事务名称:    HTTP_木马后门_webshell_Altman_PHP毗连
清静类型:    木马后门
事务形貌:    检测到源IP主机正在通过Webshell管理工具Altman会见目的主机上的一句话Webshell,从而获得执行代码、上传下载文件等权限 。Altman基于.Net4.0开发,整个程序接纳mef插件架构 。现在完成的功效有:Shell管理、下令执行、文件管理、数据库管理、编码器等,剧本类型支持asp、aspx、php、jsp、python 。
更新时间:    20221122



事务名称:    HTTP_文件操作攻击_Snews_CMS_文件上传攻击
清静类型:    清静误差
事务形貌:    检测到源IP主机正在使用SnewsCMS中的文件上传误差,上传恶意文件,从而获得目的IP主机的执行代码、文件上传、数据库操作等权限 。sNews是一完全地自由的、切合标准的、使用PHP和MySQL驱动的内容管理系统(CMS) 。
更新时间:    20221122



事务名称:    HTTP_文件操作攻击_PHP_chr函数_webshell文件上传
清静类型:    清静误差
事务形貌:    检测到源IP主机正在使用chr函数结构恶意文件绕过要害词检测,上传PHP恶意文件,从而获得目的IP主机的执行代码、文件上传、数据库操作等权限 。
更新时间:    20221122



事务名称:    TCP_提权攻击_Zabbix_Server_trapper_下令执行
清静类型:    清静误差
事务形貌:    检测到源ip正在使用Zabbix的误差举行恶意下令执行 。Zabbix是由AlexeiVladishev开发的一种网络监视、管理系统,基于Server-Client架构 。在CVE-2017-2824中,其Server端trappercommand功效保存一处代码执行误差,而修复补丁并不完善,导致可以使用IPv6举行绕过,注入恣意下令 。
更新时间:    20221122



事务名称:    HTTP_信息泄露_Alibaba_Canal-config_云密钥_信息泄露
清静类型:    CGI攻击
事务形貌:    canal是阿里巴巴旗下的一款开源项目,因权限问题,攻击者可通过特定的地址会见获取一些较为敏感的数据 。
更新时间:    20221122



事务名称:    TCP_提权攻击_可疑反弹shell下令注入_攻击失败
清静类型:    清静误差
事务形貌:    检测到源IP主机正在向目的主机举行BASH_反弹shell下令注入攻击 。反弹毗连,是指攻击者指定服务端,受害者主机自动毗连攻击者的服务端程序 。反弹shell通常用于被控端因防火墙受限、权限缺乏、端口被占用等情形 。攻击者攻击乐成后可以远程执行系统下令 。当执行bash反弹shell下令有误时,会返回bash:nojobcontrolinthisshell
更新时间:    20221122



事务名称:    TCP_提权攻击_ASP.NET_ObjectDataProvider-YamlDotNet使用链_ysoserial工具使用_下令执行
清静类型:    清静误差
事务形貌:    ysoserial.net是在常见.NET库中发明的适用程序和面向属性的编程“小工具链”的荟萃,可以在适当的条件下使用.NET应用程序执行不清静的工具反序列化 。主驱动程序接受用户指定的下令并将其包装在用户指定的小工具链中,然后将这些工具序列化到标准输出 。当类路径上具有所需小工具的应用程序不清静地反序列化此数据时,将自动挪用链并导致下令在应用程序主机上执行 。
更新时间:    20221122



事务名称:    HTTP_提权攻击_yii反序列化_代码执行[CVE-2020-15148][CNNVD-202009-926]
清静类型:    清静误差
事务形貌:    检测到源IP使用目的ip上yii的反序列化误差结构序列化文本从而执行远程下令执行的行为 。Yii是一个高性能的PHP5的web应用程序开发框架 。通过一个简朴的下令行工具yiic可以快速建设一个web应用程序的代码框架,开发者可以在天生的代码框架基础上添加营业逻辑,以快速完成应用程序的开发 。
更新时间:    20221122



事务名称:    HTTP_提权攻击_ZendFramework_3.0_反序列化_代码执行[CVE-2021-3007][CNNVD-202101-025]
清静类型:    清静误差
事务形貌:    检测到源IP使用目的ip上ZendFramework3.0的反序列化误差结构序列化文本从而执行远程下令执行的行为 。ZENDZendFramework(ZF)是美国Zend(ZEND)公司的一套开源的PHP开发框架,它主要用于开发Web程序和服务 。
更新时间:    20221122



事务名称:    HTTP_信息泄露_Swagger-api工具_敏感文件会见
清静类型:    CGI攻击
事务形貌:    Swagger是一款RESTFUL接口的、基于YAML、JSON语言的文档在线自动天生、代码自动天生的工具 。spring框架中也会使用Swagger:springfox-swagger2(2.4)springfox-swagger-ui(2.4),相关文件夹被会见有信息泄露危害 。
更新时间:    20221122



事务名称:    HTTP_清静误差_ToTolink_N600R路由器_Exportovpn_未授权下令注入
清静类型:    清静误差
事务形貌:    检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn下令注入误差攻击目的IP主机 。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口保存下令注入,攻击者可借此未验证远程执行恶意下令 。
更新时间:    20221122



事务名称:    HTTP_清静误差_若依CMS_远程下令执行误差
清静类型:    清静误差
事务形貌:    若依后台管理系统使用了snakeyaml的jar包,snakeyaml是用来剖析yaml的名堂,可用于Java工具的序列化、反序列化 。由于若依后台妄想使命处,关于传入的"挪用目的字符串"没有任何校验,导致攻击者可以结构payload远程挪用jar包,从而执行恣意下令 。
更新时间:    20221122