升級包下載:Data.2021.04.12.004996_PKG.zip
本次共新增39條安全事件(對于上個月升級包):
P2P Edonkey搜索請求(search by name)
掃描行為異常端口445流量可能掃描或感染
Windows更新P2P活動
TROJAN Formbook0.3登錄
木馬模板書數(shù)控檢查(GET)
木馬模板書數(shù)控檢查(POST)
特洛伊盜版者簽入
觀察到WEB_SERVER JexBoss公共URI結(jié)構(gòu)(INBOUND)
PE EXE或DLL Windows文件下載HTTP
RDP連接確認(rèn)
Winxpperformance.com惡意代碼用戶代理
在DNS端口操作碼6或7上設(shè)置非DNS或不兼容的DNS流量
Apache Struts memberAccess和opensymphony入站OGNL注入遠(yuǎn)程代碼執(zhí)行嘗試
疑似Apache Struts OGNL表達(dá)式注入 (CVE-2017-5638)(Content-Disposition) M1
網(wǎng)絡(luò)應(yīng)用程序OGNL表達(dá)式注入(CVE-2017-9791)
Apache Struts java.lang inbound OGNL injection remote code execution attempt
Apache Struts成員訪問入站OGNL注入遠(yuǎn)程代碼執(zhí)行嘗試
HTTP客戶端主體包含pword=明文口令
Unsupported/Fake Internet Explorer Version MSIE 5.
WEB_SERVER JexBoss用戶代理被觀察(INBOUND)
WEB_SERVER可能的SQL注入(exec)
傳入基本身份驗證Base64 HTTP密碼檢測未加密
可能的Struts S2-053-CVE-2017-12611攻擊嘗試M1
探究Apache Struts URI中可能的允許靜態(tài)訪問的OGNL
探索到Apache Struts gethriter和opensymphony入站OGNL注入遠(yuǎn)程代碼執(zhí)行攻擊
來自客戶端的SSLv3出站連接容易受到獅子狗攻擊
疑似Apache Struts OGNL表達(dá)式注入(CVE-2017-5638)M2
疑似在Apache Struts中利用OGNL漏洞注入
Apache Struts RCE CVE-2018-11776 POC M2
Apache Struts ognl入站ognl注入遠(yuǎn)程代碼執(zhí)行嘗試
CHAT Jabber/Google Talk Incoming Message
DNS Query for TOR Hidden Domain .onion Accessible Via TOR
DNS 查詢到.to的TLD域名
HTTP客戶端包含明文口令
Hex Obfuscation of String.fromCharCode % Encoding
Hex Obfuscation of document.write % Encoding
MALWARE PUP/Win32.Snojan Checkin
MALWARE Win32/Adware.Qjwmonkey.H Variant CnC Activity M2
Magento XMLRPC漏洞利用攻擊
本次共移除27條安全事件:
Oracle JSF2路徑遍歷嘗試
SQL服務(wù)名緩沖區(qū)溢出攻擊嘗試
SQL用戶名緩沖區(qū)溢出攻擊嘗試
TLS HeartBleed非加密請求方法
TeamViewer保活信息
URI中出現(xiàn)/bin/bash(命令執(zhí)行嘗試)
WEB_SERVER Suspicious Chmod Usage in URI (Inbound)
pwn.jsp WEBSHELL攻擊
使用public作為SNMP查詢社區(qū)串
十六進制混淆編碼(substr)
十六進制混淆編碼(非escape字符)
十六進制混淆編碼(String.fromCharCode)
十六進制混淆編碼(charCodeAt)
十六進制混淆編碼(document.write)
發(fā)現(xiàn)槽洞木馬Cookie
口令文件訪問
可疑的SSH掃描
異常心跳請求
掃描外部SSH端口
掃描端口139
有害的宏文件
有害的宏文件(AlphaNumL)
木馬Win32/Siggen.Dropper回連
疑似Apache Struts OGNL動態(tài)活動
疑似永恒之藍(lán)漏洞(MS17-010)堆噴射
疑似的木馬僵尸網(wǎng)絡(luò)Ponmocup(偽造的MSIE7用戶代理)
登錄僵尸網(wǎng)絡(luò)Nitol.B
白名單中共出現(xiàn)3條事件:
Winxpperformance.com惡意代碼用戶代理
動態(tài)算法生成域名
可能遭受POODLE攻擊(SSLv3存在漏洞)