流量審計規(guī)則庫

Data.2021.11.04.006464

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2021-11-19    瀏覽次數(shù):
 

升級包下載:SP_005_Data.2021.11.04.006464_1105.zip


本次共新增37條安全事件:
主機遭受webtrends掃描器的ping掃描
可疑的內(nèi)部Oracle數(shù)據(jù)庫 1521端口掃描
主機的3306(MYSQL)端口被掃描
發(fā)現(xiàn)黑域名 xdqzpbcgrvkj.ru
主機對其他445(SMB)端口發(fā)起掃描
Winxpperformance.com相關(guān)間諜軟件用戶代理(Microsoft Internet瀏覽器)
主機發(fā)起非標準的DNS請求
發(fā)現(xiàn)黑域名 anam0rph.su
掃描可疑的入站到PostgreSQL端口5432
Apache Struts memberAccess 及 getWriter OGNL遠程代碼執(zhí)行嘗試
WEB服務(wù)器遭受CVE-2017-9791(Struts遠程代碼執(zhí)行)漏洞利用
發(fā)現(xiàn)黑域名 n.wpsnxnegs.com
客戶端包含Apache Struts OGNL ProcessBuilder漏洞利用
疑似Apache Struts OGNL表達式注入 (CVE-2017-5638)(Content-Disposition) M1
*.top惡意域名請求
Apache Struts .getWriter OGNL遠程代碼執(zhí)行
DNS DNS Lookup for localhost.DOMAIN.TLD
P2P Edonkey搜索請求(search by name)
主機發(fā)起SSLv3協(xié)議請求容易受到POODLE攻擊
主機的1433(MSSQL)端口被掃描
發(fā)現(xiàn)黑域名 a.ajjjqws1fkxx42.com
發(fā)現(xiàn)黑域名 a.bmous2epadsafa42.com
發(fā)現(xiàn)黑域名 aefobfboabobfaoua.ru
發(fā)現(xiàn)黑域名 n.yxntnyrap.ru
發(fā)現(xiàn)黑域名 orzdwjtvmein.in
發(fā)現(xiàn)黑域名 restlesz.su
發(fā)現(xiàn)黑域名 s.mfhvihgj.ru
發(fā)現(xiàn)黑域名 s.qqxsvqe.ru
發(fā)現(xiàn)黑域名 somicrososoft.ru
發(fā)現(xiàn)黑域名 srv1200.ru
發(fā)現(xiàn)黑域名 v1.djqxwndr.ru
發(fā)現(xiàn)黑域名 v1.kuokyqny.com
發(fā)現(xiàn)黑域名 v1.obtpxtu.ru
發(fā)現(xiàn)黑域名 v1.sebkzmrk.ru
發(fā)現(xiàn)黑域名 v1.uqapbzjd.net
發(fā)現(xiàn)黑域名 v2.awtiwzk.ru
發(fā)現(xiàn)黑域名 www.lvsepe.com
本次共移除37條安全事件:
可能的Apache Struts OGNL表達式注入(CVE-2017-5638)
可能的Apache Struts OGNL表達式注入M2(CVE-2017-5638)
木馬APT1 WEBC2-UGX用戶代理
來自客戶端的SSLv3出站連接容易受到獅子狗攻擊
Apache Struts RCE CVE-2018-11776 POC M2
Apache Tomcat可能的CVE-2017-12617 JSP上傳繞過嘗試
CHAT Jabber/Google Talk Incoming Message
DNS Query for .to TLD
DNS Query for TOR Hidden Domain .onion Accessible Via TOR
Oracle JSF2路徑遍歷嘗試
QQ Browser WUP Request - qbpcstatf.stat
SSH掃描
TROJAN GENERIC Likely Malicious Fake IE Downloading .exe
TROJAN 木馬Win32/Ramnit登錄
WEB_SERVER ColdFusion password.properties access
WEB_SERVER HTTP POST base64_decode的通用eval
WEB_SERVER Magento xmlrpc -利用嘗試
WEB_SERVER ThinkPHP RCE開發(fā)嘗試
WEB_SERVER可能的CVE-2014-6271嘗試頭部
Windows更新P2P活動
使用public作為SNMP查詢社區(qū)串
發(fā)現(xiàn)黑域名 www.it885.com.cn
可能的Apache Struts OGNL表達式注入M3(CVE-2017-5638)
可能的TLS HeartBleed未加密請求方法3(Inbound to Common SSL Port)
可能的TOR SSL流量
可能的永恒之藍MS17-010堆噴
在URI中可疑的Chmod使用(Inbound)
惡意軟件交易Adware CnC信標2
掃描心臟出血請求
掃描檢測到的Nmap腳本引擎用戶代理(Nmap Scripting Engine)
掃描潛在的SSH掃描出站
掃描行為異常端口139流量潛在掃描或感染
木馬W32/Siggen.Dropper回連
木馬可能危及主機AnubisNetworks Sinkhole Cookie值Snkz
木馬可能惡意宏DL EXE 2016年2月
木馬可能是惡意宏EXE DL數(shù)字
木馬欺騙了MSIE 7用戶代理很可能是Ponmocup
白名單中共出現(xiàn)1條事件:
動態(tài)算法生成域名

 
 

上一篇:csv_vul_plugins_202111

下一篇:細思極恐!亞馬遜允許員工訪問幾乎所有客戶數(shù)據(jù)