升級(jí)包下載:SP_005_Data.2021.10.13.006539_1044.zip
影響范圍:
1、該策略升級(jí)包支持在發(fā)布的任何版本是上升級(jí)
2、升級(jí)后基礎(chǔ)庫版本號(hào)不變,策略庫版本后升級(jí)后是Data.2021.10.13.006539
3、升級(jí)完成后機(jī)器不會(huì)重啟。
本次共新增71條安全事件:
主機(jī)接收到SNMP的public請(qǐng)求
HTTP客戶端主體包含pword=明文口令
木馬模板書數(shù)控檢查(GET)
特洛伊盜版者簽入
觀察到WEB_SERVER JexBoss公共URI結(jié)構(gòu)(INBOUND)
MALWARE Winxpperformance.com Related Spyware User-Agent (Microsoft Internet Browser)
TROJAN Formbook0.3登錄
在DNS端口操作碼6或7上設(shè)置非DNS或不兼容的DNS流量
木馬模板書數(shù)控檢查(POST)
DNS Query for .to TLD
RDP連接確認(rèn)
掃描可疑的入站到Oracle SQL端口1521
Unsupported/Fake Internet Explorer Version MSIE 5.
WEB_SERVER JexBoss用戶代理被觀察(INBOUND)
主機(jī)發(fā)起.cc域名的DNS查詢
發(fā)現(xiàn)黑域名 buy1.thquklc.ru
發(fā)現(xiàn)黑域名 equant.wang
發(fā)現(xiàn)黑域名 x22.iboaentc.com
發(fā)現(xiàn)黑域名 x41.mzgxfotd.biz
可能的小米電話數(shù)據(jù)泄漏DNS
Apache Struts memberAccess和opensymphony入站OGNL注入遠(yuǎn)程代碼執(zhí)行嘗試
Apache Struts可能的OGNL Java ProcessBuilder URI
Apache Struts可能的OGNL Java ProcessBuilder在客戶體
Apache Struts成員訪問入站OGNL注入遠(yuǎn)程代碼執(zhí)行嘗試
DNS Query for TOR Hidden Domain .onion Accessible Via TOR
DNS Query to a *.pw domain - Likely Hostile
DNS Query to a .tk domain - Likely Hostile
Hex Obfuscation of String.fromCharCode % Encoding
Hex Obfuscation of document.write % Encoding
Java Url庫用戶代理Web爬行
MALWARE PUP/Win32.Snojan Checkin
MALWARE Win32/Adware.Qjwmonkey.H Variant CnC Activity M2
SQL service_name緩沖區(qū)溢出嘗試
SQL用戶名緩沖區(qū)溢出嘗試
TROJAN ETag HTTP Header Observed at CNCERT Sinkhole
TROJAN [PTsecurity] Botnet Nitol.B Checkin
TeamViewer維生入站
Tiktok DNS查找
WEB_SERVER Magento xmlrpc -利用嘗試
WEB_SERVER WEBSHELL pwn.jsp shell
WEB_SERVER authors.pwd access
WEB_SERVER腳本標(biāo)簽在URI中可能跨站點(diǎn)腳本嘗試
WEB服務(wù)器發(fā)現(xiàn)POST請(qǐng)求中包含base64_decode的eval命令
WEB服務(wù)器接收到中國菜刀webshell(php類型)的請(qǐng)求
WEB服務(wù)器遭受CVE-2014-6271(Bash遠(yuǎn)程代碼執(zhí)行)漏洞利用(Headers)
WEB服務(wù)器遭受CVE-2017-9791(Struts遠(yuǎn)程代碼執(zhí)行)漏洞利用
十六進(jìn)制混淆charCodeAt %編碼
十六進(jìn)制混淆編碼(substr編碼)
十六進(jìn)制混淆編碼(unescape編碼)
發(fā)現(xiàn)黑IP 159.65.144.236
發(fā)現(xiàn)黑IP 165.227.121.73
發(fā)現(xiàn)黑IP 183.192.164.214
發(fā)現(xiàn)黑IP 206.189.132.42
發(fā)現(xiàn)黑域名 buy1.qdlycsz.ru
發(fā)現(xiàn)黑域名 buy1.yugjpgb.ru
發(fā)現(xiàn)黑域名 x0.pewpwqso.com
發(fā)現(xiàn)黑域名 x16.qqoaiyco.com
發(fā)現(xiàn)黑域名 x31.yzzbsdrt.biz
發(fā)現(xiàn)黑域名 x41.muycpitk.biz
可能的Apache Struts OGNL表達(dá)式注入(CVE-2017-5638)
可能的Apache Struts OGNL表達(dá)式注入(內(nèi)容處理)M1(CVE-2017-5638)
可能的Apache Struts OGNL表達(dá)式注入M2(CVE-2017-5638)
可能的Struts S2-053-CVE-2017-12611攻擊嘗試M1
可能的TLS HeartBleed未加密請(qǐng)求方法3(Inbound to Common SSL Port)
可能的永恒之藍(lán)MS17-010堆噴
密碼盜竊木馬
惡意軟件交易Adware CnC信標(biāo)2
掃描心臟出血請(qǐng)求
木馬W32/Siggen.Dropper回連
檢測(cè)到Windows 98用戶代理-可能的惡意軟件或未更新的系統(tǒng)
畸形的心跳請(qǐng)求
本次共移除71條安全事件:
域名快閃
HTTP客戶端請(qǐng)求中包含明文口令
使用public作為SNMP查詢社區(qū)串
Formbook0.3登錄
回連域名查詢
請(qǐng)求.tk域名(可能存在問題)
可疑的內(nèi)部Oracle數(shù)據(jù)庫 1521端口掃描
DNS查詢.頂級(jí)域名
發(fā)現(xiàn) Win.Adware.Agent-1195498
可疑的*.top域名請(qǐng)求
非標(biāo)的DNS流量
遠(yuǎn)程桌面連接成功
發(fā)現(xiàn)加密文件
發(fā)現(xiàn)黑域名 x14.xfaatczx.biz
發(fā)現(xiàn)黑IP 103.60.13.195
Apache Struts memberAccess 和 opensymphony OGNL遠(yuǎn)程代碼執(zhí)行
OGNL表達(dá)式注入(CVE-2017-9791)
POLICY DNS Query to DynDNS Domain *.servehttp .com
不支持的或偽造的IE5瀏覽器
發(fā)現(xiàn)黑域名 co.bmstatic.net
發(fā)現(xiàn)黑域名 x39.mikokroh.biz
客戶端包含Apache Struts OGNL ProcessBuilder漏洞利用
疑似Apache Struts OGNL表達(dá)式注入(CVE-2017-5638) (Content-Disposition)
通過HTTP下載Windows執(zhí)行程序
Apache Struts memberAccess OGNL注入遠(yuǎn)程代碼嘗試
Apache Struts memberAccess 及 getWriter OGNL遠(yuǎn)程代碼執(zhí)行嘗試
包含Apache Struts OGNL ProcessBuilder URI漏洞利用
發(fā)現(xiàn)黑域名 buy1.fmrolhu.ru
發(fā)現(xiàn)黑域名 x0.pesmwzdd.com
疑似Apache Struts OGNL表達(dá)式注入(CVE-2017-5638)
疑似Struts S2-053-CVE-2017-12611漏洞利用攻擊
Apache Struts .getWriter OGNL遠(yuǎn)程代碼執(zhí)行
Apache Struts getWriter 及 opensymphony OGNL遠(yuǎn)程代碼執(zhí)行嘗試
Apache Struts java.lang OGNL遠(yuǎn)程代碼執(zhí)行
HTTP POST中包含eval(base64方式編碼)
Magento XMLRPC漏洞利用嘗試
Nmap Heartbleed請(qǐng)求
SQL服務(wù)名緩沖區(qū)溢出攻擊嘗試
SQL用戶名緩沖區(qū)溢出攻擊嘗試
TLS HeartBleed非加密請(qǐng)求方法
TeamViewer保活信息
pwn.jsp WEBSHELL攻擊
使用Java Url庫爬網(wǎng)
十六進(jìn)制混淆編碼(substr)
十六進(jìn)制混淆編碼(非escape字符)
十六進(jìn)制混淆編碼(String.fromCharCode)
十六進(jìn)制混淆編碼(charCodeAt)
十六進(jìn)制混淆編碼(document.write)
發(fā)現(xiàn) Win.Trojan.GWGirl-2
發(fā)現(xiàn)槽洞木馬Cookie
發(fā)現(xiàn)黑IP 89.190.159.181
發(fā)現(xiàn)黑域名 buy1.oabrpce.ru
發(fā)現(xiàn)黑域名 buy1.otkmgkl.ru
發(fā)現(xiàn)黑域名 buy1.pyrxbqc.ru
發(fā)現(xiàn)黑域名 buy1.ueasaxq.ru
發(fā)現(xiàn)黑域名 buy1.utnukfu.ru
發(fā)現(xiàn)黑域名 muma334.320.io
發(fā)現(xiàn)黑域名 x20.wzbjqopg.biz
發(fā)現(xiàn)黑域名 x22.odabpdtl.info
發(fā)現(xiàn)黑域名 x29.mzgxfotd.biz
發(fā)現(xiàn)黑域名 x35.mzgxfotd.biz
口令文件訪問
可疑的小米手機(jī)DNS請(qǐng)求數(shù)據(jù)泄露
可能遭受POODLE攻擊(SSLv3存在漏洞)
異常心跳請(qǐng)求
木馬APT1 WEBC2-UGX用戶代理
電子加密貨幣客戶端登錄
疑似Apache Structs OGNL AllowStaticMethodAccess漏洞利用
疑似Apache Struts OGNL URI Java執(zhí)行
疑似SQL注入
疑似永恒之藍(lán)漏洞(MS17-010)堆噴射
白名單中共出現(xiàn)1條事件:
動(dòng)態(tài)算法生成域名)