升級包下載:SP_005_Data.2021.10.13.006539_1044.zip
影響范圍:
1、該策略升級包支持在發(fā)布的任何版本是上升級
2、升級后基礎(chǔ)庫版本號不變,策略庫版本后升級后是Data.2021.10.13.006539
3、升級完成后機器不會重啟。
本次共新增71條安全事件:
主機接收到SNMP的public請求
HTTP客戶端主體包含pword=明文口令
木馬模板書數(shù)控檢查(GET)
特洛伊盜版者簽入
觀察到WEB_SERVER JexBoss公共URI結(jié)構(gòu)(INBOUND)
MALWARE Winxpperformance.com Related Spyware User-Agent (Microsoft Internet Browser)
TROJAN Formbook0.3登錄
在DNS端口操作碼6或7上設(shè)置非DNS或不兼容的DNS流量
木馬模板書數(shù)控檢查(POST)
DNS Query for .to TLD
RDP連接確認
掃描可疑的入站到Oracle SQL端口1521
Unsupported/Fake Internet Explorer Version MSIE 5.
WEB_SERVER JexBoss用戶代理被觀察(INBOUND)
主機發(fā)起.cc域名的DNS查詢
發(fā)現(xiàn)黑域名 buy1.thquklc.ru
發(fā)現(xiàn)黑域名 equant.wang
發(fā)現(xiàn)黑域名 x22.iboaentc.com
發(fā)現(xiàn)黑域名 x41.mzgxfotd.biz
可能的小米電話數(shù)據(jù)泄漏DNS
Apache Struts memberAccess和opensymphony入站OGNL注入遠程代碼執(zhí)行嘗試
Apache Struts可能的OGNL Java ProcessBuilder URI
Apache Struts可能的OGNL Java ProcessBuilder在客戶體
Apache Struts成員訪問入站OGNL注入遠程代碼執(zhí)行嘗試
DNS Query for TOR Hidden Domain .onion Accessible Via TOR
DNS Query to a *.pw domain - Likely Hostile
DNS Query to a .tk domain - Likely Hostile
Hex Obfuscation of String.fromCharCode % Encoding
Hex Obfuscation of document.write % Encoding
Java Url庫用戶代理Web爬行
MALWARE PUP/Win32.Snojan Checkin
MALWARE Win32/Adware.Qjwmonkey.H Variant CnC Activity M2
SQL service_name緩沖區(qū)溢出嘗試
SQL用戶名緩沖區(qū)溢出嘗試
TROJAN ETag HTTP Header Observed at CNCERT Sinkhole
TROJAN [PTsecurity] Botnet Nitol.B Checkin
TeamViewer維生入站
Tiktok DNS查找
WEB_SERVER Magento xmlrpc -利用嘗試
WEB_SERVER WEBSHELL pwn.jsp shell
WEB_SERVER authors.pwd access
WEB_SERVER腳本標簽在URI中可能跨站點腳本嘗試
WEB服務(wù)器發(fā)現(xiàn)POST請求中包含base64_decode的eval命令
WEB服務(wù)器接收到中國菜刀webshell(php類型)的請求
WEB服務(wù)器遭受CVE-2014-6271(Bash遠程代碼執(zhí)行)漏洞利用(Headers)
WEB服務(wù)器遭受CVE-2017-9791(Struts遠程代碼執(zhí)行)漏洞利用
十六進制混淆charCodeAt %編碼
十六進制混淆編碼(substr編碼)
十六進制混淆編碼(unescape編碼)
發(fā)現(xiàn)黑IP 159.65.144.236
發(fā)現(xiàn)黑IP 165.227.121.73
發(fā)現(xiàn)黑IP 183.192.164.214
發(fā)現(xiàn)黑IP 206.189.132.42
發(fā)現(xiàn)黑域名 buy1.qdlycsz.ru
發(fā)現(xiàn)黑域名 buy1.yugjpgb.ru
發(fā)現(xiàn)黑域名 x0.pewpwqso.com
發(fā)現(xiàn)黑域名 x16.qqoaiyco.com
發(fā)現(xiàn)黑域名 x31.yzzbsdrt.biz
發(fā)現(xiàn)黑域名 x41.muycpitk.biz
可能的Apache Struts OGNL表達式注入(CVE-2017-5638)
可能的Apache Struts OGNL表達式注入(內(nèi)容處理)M1(CVE-2017-5638)
可能的Apache Struts OGNL表達式注入M2(CVE-2017-5638)
可能的Struts S2-053-CVE-2017-12611攻擊嘗試M1
可能的TLS HeartBleed未加密請求方法3(Inbound to Common SSL Port)
可能的永恒之藍MS17-010堆噴
密碼盜竊木馬
惡意軟件交易Adware CnC信標2
掃描心臟出血請求
木馬W32/Siggen.Dropper回連
檢測到Windows 98用戶代理-可能的惡意軟件或未更新的系統(tǒng)
畸形的心跳請求
本次共移除71條安全事件:
域名快閃
HTTP客戶端請求中包含明文口令
使用public作為SNMP查詢社區(qū)串
Formbook0.3登錄
回連域名查詢
請求.tk域名(可能存在問題)
可疑的內(nèi)部Oracle數(shù)據(jù)庫 1521端口掃描
DNS查詢.頂級域名
發(fā)現(xiàn) Win.Adware.Agent-1195498
可疑的*.top域名請求
非標的DNS流量
遠程桌面連接成功
發(fā)現(xiàn)加密文件
發(fā)現(xiàn)黑域名 x14.xfaatczx.biz
發(fā)現(xiàn)黑IP 103.60.13.195
Apache Struts memberAccess 和 opensymphony OGNL遠程代碼執(zhí)行
OGNL表達式注入(CVE-2017-9791)
POLICY DNS Query to DynDNS Domain *.servehttp .com
不支持的或偽造的IE5瀏覽器
發(fā)現(xiàn)黑域名 co.bmstatic.net
發(fā)現(xiàn)黑域名 x39.mikokroh.biz
客戶端包含Apache Struts OGNL ProcessBuilder漏洞利用
疑似Apache Struts OGNL表達式注入(CVE-2017-5638) (Content-Disposition)
通過HTTP下載Windows執(zhí)行程序
Apache Struts memberAccess OGNL注入遠程代碼嘗試
Apache Struts memberAccess 及 getWriter OGNL遠程代碼執(zhí)行嘗試
包含Apache Struts OGNL ProcessBuilder URI漏洞利用
發(fā)現(xiàn)黑域名 buy1.fmrolhu.ru
發(fā)現(xiàn)黑域名 x0.pesmwzdd.com
疑似Apache Struts OGNL表達式注入(CVE-2017-5638)
疑似Struts S2-053-CVE-2017-12611漏洞利用攻擊
Apache Struts .getWriter OGNL遠程代碼執(zhí)行
Apache Struts getWriter 及 opensymphony OGNL遠程代碼執(zhí)行嘗試
Apache Struts java.lang OGNL遠程代碼執(zhí)行
HTTP POST中包含eval(base64方式編碼)
Magento XMLRPC漏洞利用嘗試
Nmap Heartbleed請求
SQL服務(wù)名緩沖區(qū)溢出攻擊嘗試
SQL用戶名緩沖區(qū)溢出攻擊嘗試
TLS HeartBleed非加密請求方法
TeamViewer?;钚畔?br />
pwn.jsp WEBSHELL攻擊
使用Java Url庫爬網(wǎng)
十六進制混淆編碼(substr)
十六進制混淆編碼(非escape字符)
十六進制混淆編碼(String.fromCharCode)
十六進制混淆編碼(charCodeAt)
十六進制混淆編碼(document.write)
發(fā)現(xiàn) Win.Trojan.GWGirl-2
發(fā)現(xiàn)槽洞木馬Cookie
發(fā)現(xiàn)黑IP 89.190.159.181
發(fā)現(xiàn)黑域名 buy1.oabrpce.ru
發(fā)現(xiàn)黑域名 buy1.otkmgkl.ru
發(fā)現(xiàn)黑域名 buy1.pyrxbqc.ru
發(fā)現(xiàn)黑域名 buy1.ueasaxq.ru
發(fā)現(xiàn)黑域名 buy1.utnukfu.ru
發(fā)現(xiàn)黑域名 muma334.320.io
發(fā)現(xiàn)黑域名 x20.wzbjqopg.biz
發(fā)現(xiàn)黑域名 x22.odabpdtl.info
發(fā)現(xiàn)黑域名 x29.mzgxfotd.biz
發(fā)現(xiàn)黑域名 x35.mzgxfotd.biz
口令文件訪問
可疑的小米手機DNS請求數(shù)據(jù)泄露
可能遭受POODLE攻擊(SSLv3存在漏洞)
異常心跳請求
木馬APT1 WEBC2-UGX用戶代理
電子加密貨幣客戶端登錄
疑似Apache Structs OGNL AllowStaticMethodAccess漏洞利用
疑似Apache Struts OGNL URI Java執(zhí)行
疑似SQL注入
疑似永恒之藍漏洞(MS17-010)堆噴射
白名單中共出現(xiàn)1條事件:
動態(tài)算法生成域名)