流量審計(jì)規(guī)則庫(kù)

Data.2021.04.12.004996
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-04-19    瀏覽次數(shù):
 

升級(jí)包下載:Data.2021.04.12.004996_PKG.zip 


本次共新增39條安全事件(對(duì)于上個(gè)月升級(jí)包):

P2P Edonkey搜索請(qǐng)求(search by name)
掃描行為異常端口445流量可能掃描或感染
Windows更新P2P活動(dòng)
TROJAN Formbook0.3登錄
木馬模板書數(shù)控檢查(GET)
木馬模板書數(shù)控檢查(POST)
特洛伊盜版者簽入
觀察到WEB_SERVER JexBoss公共URI結(jié)構(gòu)(INBOUND)
PE EXE或DLL Windows文件下載HTTP
RDP連接確認(rèn)
Winxpperformance.com惡意代碼用戶代理
在DNS端口操作碼6或7上設(shè)置非DNS或不兼容的DNS流量
Apache Struts memberAccess和opensymphony入站OGNL注入遠(yuǎn)程代碼執(zhí)行嘗試
疑似Apache Struts OGNL表達(dá)式注入 (CVE-2017-5638)(Content-Disposition) M1
網(wǎng)絡(luò)應(yīng)用程序OGNL表達(dá)式注入(CVE-2017-9791)
Apache Struts java.lang inbound OGNL injection remote code execution attempt
Apache Struts成員訪問(wèn)入站OGNL注入遠(yuǎn)程代碼執(zhí)行嘗試
HTTP客戶端主體包含pword=明文口令
Unsupported/Fake Internet Explorer Version MSIE 5.
WEB_SERVER JexBoss用戶代理被觀察(INBOUND)
WEB_SERVER可能的SQL注入(exec)
傳入基本身份驗(yàn)證Base64 HTTP密碼檢測(cè)未加密
可能的Struts S2-053-CVE-2017-12611攻擊嘗試M1
探究Apache Struts URI中可能的允許靜態(tài)訪問(wèn)的OGNL
探索到Apache Struts gethriter和opensymphony入站OGNL注入遠(yuǎn)程代碼執(zhí)行攻擊
來(lái)自客戶端的SSLv3出站連接容易受到獅子狗攻擊
疑似Apache Struts OGNL表達(dá)式注入(CVE-2017-5638)M2
疑似在Apache Struts中利用OGNL漏洞注入
Apache Struts RCE CVE-2018-11776 POC M2
Apache Struts ognl入站ognl注入遠(yuǎn)程代碼執(zhí)行嘗試
CHAT Jabber/Google Talk Incoming Message
DNS Query for TOR Hidden Domain .onion Accessible Via TOR
DNS 查詢到.to的TLD域名
HTTP客戶端包含明文口令
Hex Obfuscation of String.fromCharCode % Encoding
Hex Obfuscation of document.write % Encoding
MALWARE PUP/Win32.Snojan Checkin
MALWARE Win32/Adware.Qjwmonkey.H Variant CnC Activity M2
Magento XMLRPC漏洞利用攻擊

本次共移除27條安全事件:
Oracle JSF2路徑遍歷嘗試
SQL服務(wù)名緩沖區(qū)溢出攻擊嘗試
SQL用戶名緩沖區(qū)溢出攻擊嘗試
TLS HeartBleed非加密請(qǐng)求方法
TeamViewer保活信息
URI中出現(xiàn)/bin/bash(命令執(zhí)行嘗試)
WEB_SERVER Suspicious Chmod Usage in URI (Inbound)
pwn.jsp WEBSHELL攻擊
使用public作為SNMP查詢社區(qū)串
十六進(jìn)制混淆編碼(substr)
十六進(jìn)制混淆編碼(非escape字符)
十六進(jìn)制混淆編碼(String.fromCharCode)
十六進(jìn)制混淆編碼(charCodeAt)
十六進(jìn)制混淆編碼(document.write)
發(fā)現(xiàn)槽洞木馬Cookie
口令文件訪問(wèn)
可疑的SSH掃描
異常心跳請(qǐng)求
掃描外部SSH端口
掃描端口139
有害的宏文件
有害的宏文件(AlphaNumL)
木馬Win32/Siggen.Dropper回連
疑似Apache Struts OGNL動(dòng)態(tài)活動(dòng)
疑似永恒之藍(lán)漏洞(MS17-010)堆噴射
疑似的木馬僵尸網(wǎng)絡(luò)Ponmocup(偽造的MSIE7用戶代理)
登錄僵尸網(wǎng)絡(luò)Nitol.B

白名單中共出現(xiàn)3條事件:
Winxpperformance.com惡意代碼用戶代理
動(dòng)態(tài)算法生成域名
可能遭受POODLE攻擊(SSLv3存在漏洞)
 
 

上一篇:聚銘網(wǎng)絡(luò)精彩亮相第五屆雪野湖醫(yī)療網(wǎng)絡(luò)安全技術(shù)論壇!為醫(yī)療行業(yè)網(wǎng)絡(luò)安全建設(shè)保駕護(hù)航

下一篇:兩個(gè)月內(nèi) 50 家公司遭入侵,互聯(lián)網(wǎng)上最具規(guī)模的黑客組織 Cl0p 逐漸浮出水面