流量審計(jì)規(guī)則庫(kù)

Data.2021.11.04.006464
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-11-19    瀏覽次數(shù):
 

升級(jí)包下載:SP_005_Data.2021.11.04.006464_1105.zip


本次共新增37條安全事件:
主機(jī)遭受webtrends掃描器的ping掃描
可疑的內(nèi)部Oracle數(shù)據(jù)庫(kù) 1521端口掃描
主機(jī)的3306(MYSQL)端口被掃描
發(fā)現(xiàn)黑域名 xdqzpbcgrvkj.ru
主機(jī)對(duì)其他445(SMB)端口發(fā)起掃描
Winxpperformance.com相關(guān)間諜軟件用戶(hù)代理(Microsoft Internet瀏覽器)
主機(jī)發(fā)起非標(biāo)準(zhǔn)的DNS請(qǐng)求
發(fā)現(xiàn)黑域名 anam0rph.su
掃描可疑的入站到PostgreSQL端口5432
Apache Struts memberAccess 及 getWriter OGNL遠(yuǎn)程代碼執(zhí)行嘗試
WEB服務(wù)器遭受CVE-2017-9791(Struts遠(yuǎn)程代碼執(zhí)行)漏洞利用
發(fā)現(xiàn)黑域名 n.wpsnxnegs.com
客戶(hù)端包含Apache Struts OGNL ProcessBuilder漏洞利用
疑似Apache Struts OGNL表達(dá)式注入 (CVE-2017-5638)(Content-Disposition) M1
*.top惡意域名請(qǐng)求
Apache Struts .getWriter OGNL遠(yuǎn)程代碼執(zhí)行
DNS DNS Lookup for localhost.DOMAIN.TLD
P2P Edonkey搜索請(qǐng)求(search by name)
主機(jī)發(fā)起SSLv3協(xié)議請(qǐng)求容易受到POODLE攻擊
主機(jī)的1433(MSSQL)端口被掃描
發(fā)現(xiàn)黑域名 a.ajjjqws1fkxx42.com
發(fā)現(xiàn)黑域名 a.bmous2epadsafa42.com
發(fā)現(xiàn)黑域名 aefobfboabobfaoua.ru
發(fā)現(xiàn)黑域名 n.yxntnyrap.ru
發(fā)現(xiàn)黑域名 orzdwjtvmein.in
發(fā)現(xiàn)黑域名 restlesz.su
發(fā)現(xiàn)黑域名 s.mfhvihgj.ru
發(fā)現(xiàn)黑域名 s.qqxsvqe.ru
發(fā)現(xiàn)黑域名 somicrososoft.ru
發(fā)現(xiàn)黑域名 srv1200.ru
發(fā)現(xiàn)黑域名 v1.djqxwndr.ru
發(fā)現(xiàn)黑域名 v1.kuokyqny.com
發(fā)現(xiàn)黑域名 v1.obtpxtu.ru
發(fā)現(xiàn)黑域名 v1.sebkzmrk.ru
發(fā)現(xiàn)黑域名 v1.uqapbzjd.net
發(fā)現(xiàn)黑域名 v2.awtiwzk.ru
發(fā)現(xiàn)黑域名 www.lvsepe.com
本次共移除37條安全事件:
可能的Apache Struts OGNL表達(dá)式注入(CVE-2017-5638)
可能的Apache Struts OGNL表達(dá)式注入M2(CVE-2017-5638)
木馬APT1 WEBC2-UGX用戶(hù)代理
來(lái)自客戶(hù)端的SSLv3出站連接容易受到獅子狗攻擊
Apache Struts RCE CVE-2018-11776 POC M2
Apache Tomcat可能的CVE-2017-12617 JSP上傳繞過(guò)嘗試
CHAT Jabber/Google Talk Incoming Message
DNS Query for .to TLD
DNS Query for TOR Hidden Domain .onion Accessible Via TOR
Oracle JSF2路徑遍歷嘗試
QQ Browser WUP Request - qbpcstatf.stat
SSH掃描
TROJAN GENERIC Likely Malicious Fake IE Downloading .exe
TROJAN 木馬Win32/Ramnit登錄
WEB_SERVER ColdFusion password.properties access
WEB_SERVER HTTP POST base64_decode的通用eval
WEB_SERVER Magento xmlrpc -利用嘗試
WEB_SERVER ThinkPHP RCE開(kāi)發(fā)嘗試
WEB_SERVER可能的CVE-2014-6271嘗試頭部
Windows更新P2P活動(dòng)
使用public作為SNMP查詢(xún)社區(qū)串
發(fā)現(xiàn)黑域名 www.it885.com.cn
可能的Apache Struts OGNL表達(dá)式注入M3(CVE-2017-5638)
可能的TLS HeartBleed未加密請(qǐng)求方法3(Inbound to Common SSL Port)
可能的TOR SSL流量
可能的永恒之藍(lán)MS17-010堆噴
在URI中可疑的Chmod使用(Inbound)
惡意軟件交易Adware CnC信標(biāo)2
掃描心臟出血請(qǐng)求
掃描檢測(cè)到的Nmap腳本引擎用戶(hù)代理(Nmap Scripting Engine)
掃描潛在的SSH掃描出站
掃描行為異常端口139流量潛在掃描或感染
木馬W32/Siggen.Dropper回連
木馬可能危及主機(jī)AnubisNetworks Sinkhole Cookie值Snkz
木馬可能惡意宏DL EXE 2016年2月
木馬可能是惡意宏EXE DL數(shù)字
木馬欺騙了MSIE 7用戶(hù)代理很可能是Ponmocup
白名單中共出現(xiàn)1條事件:
動(dòng)態(tài)算法生成域名

 
 

上一篇:csv_vul_plugins_202111

下一篇:細(xì)思極恐!亞馬遜允許員工訪問(wèn)幾乎所有客戶(hù)數(shù)據(jù)