升级包下载:SP_005_Data.2021.10.13.006539_1044.zip
影响范围:
1、该策略升级包支持在发布的任何版本是上升级
2、升级后基础库版本号不变,策略库版本后升级后是Data.2021.10.13.006539
3、升级完成后机器不会重启。
本次共新增71条安全事件:
主机接收到SNMP的public请求
HTTP客户端主体包含pword=明文口令
木马模板书数控检查(GET)
特洛伊盗版者签入
观察到WEB_SERVER JexBoss公共URI结构(INBOUND)
MALWARE Winxpperformance.com Related Spyware User-Agent (Microsoft Internet Browser)
TROJAN Formbook0.3登录
在DNS端口操作码6或7上设置非DNS或不兼容的DNS流量
木马模板书数控检查(POST)
DNS Query for .to TLD
RDP连接确认
扫描可疑的入站到Oracle SQL端口1521
Unsupported/Fake Internet Explorer Version MSIE 5.
WEB_SERVER JexBoss用户代理被观察(INBOUND)
主机发起.cc域名的DNS查询
发现黑域名 buy1.thquklc.ru
发现黑域名 equant.wang
发现黑域名 x22.iboaentc.com
发现黑域名 x41.mzgxfotd.biz
可能的小米电话数据泄漏DNS
Apache Struts memberAccess和opensymphony入站OGNL注入远程代码执行尝试
Apache Struts可能的OGNL Java ProcessBuilder URI
Apache Struts可能的OGNL Java ProcessBuilder在客户体
Apache Struts成员访问入站OGNL注入远程代码执行尝试
DNS Query for TOR Hidden Domain .onion Accessible Via TOR
DNS Query to a *.pw domain - Likely Hostile
DNS Query to a .tk domain - Likely Hostile
Hex Obfuscation of String.fromCharCode % Encoding
Hex Obfuscation of document.write % Encoding
Java Url库用户代理Web爬行
MALWARE PUP/Win32.Snojan Checkin
MALWARE Win32/Adware.Qjwmonkey.H Variant CnC Activity M2
SQL service_name缓冲区溢出尝试
SQL用户名缓冲区溢出尝试
TROJAN ETag HTTP Header Observed at CNCERT Sinkhole
TROJAN [PTsecurity] Botnet Nitol.B Checkin
TeamViewer维生入站
Tiktok DNS查找
WEB_SERVER Magento xmlrpc -利用尝试
WEB_SERVER WEBSHELL pwn.jsp shell
WEB_SERVER authors.pwd access
WEB_SERVER脚本标签在URI中可能跨站点脚本尝试
WEB服务器发现POST请求中包含base64_decode的eval命令
WEB服务器接收到中国菜刀webshell(php类型)的请求
WEB服务器遭受CVE-2014-6271(Bash远程代码执行)漏洞利用(Headers)
WEB服务器遭受CVE-2017-9791(Struts远程代码执行)漏洞利用
十六进制混淆charCodeAt %编码
十六进制混淆编码(substr编码)
十六进制混淆编码(unescape编码)
发现黑IP 159.65.144.236
发现黑IP 165.227.121.73
发现黑IP 183.192.164.214
发现黑IP 206.189.132.42
发现黑域名 buy1.qdlycsz.ru
发现黑域名 buy1.yugjpgb.ru
发现黑域名 x0.pewpwqso.com
发现黑域名 x16.qqoaiyco.com
发现黑域名 x31.yzzbsdrt.biz
发现黑域名 x41.muycpitk.biz
可能的Apache Struts OGNL表达式注入(CVE-2017-5638)
可能的Apache Struts OGNL表达式注入(内容处理)M1(CVE-2017-5638)
可能的Apache Struts OGNL表达式注入M2(CVE-2017-5638)
可能的Struts S2-053-CVE-2017-12611攻击尝试M1
可能的TLS HeartBleed未加密请求方法3(Inbound to Common SSL Port)
可能的永恒之蓝MS17-010堆喷
密码盗窃木马
恶意软件交易Adware CnC信标2
扫描心脏出血请求
木马W32/Siggen.Dropper回连
检测到Windows 98用户代理-可能的恶意软件或未更新的系统
畸形的心跳请求
本次共移除71条安全事件:
域名快闪
HTTP客户端请求中包含明文口令
使用public作为SNMP查询社区串
Formbook0.3登录
回连域名查询
请求.tk域名(可能存在问题)
可疑的内部Oracle数据库 1521端口扫描
DNS查询.顶级域名
发现 Win.Adware.Agent-1195498
可疑的*.top域名请求
非标的DNS流量
远程桌面连接成功
发现加密文件
发现黑域名 x14.xfaatczx.biz
发现黑IP 103.60.13.195
Apache Struts memberAccess 和 opensymphony OGNL远程代码执行
OGNL表达式注入(CVE-2017-9791)
POLICY DNS Query to DynDNS Domain *.servehttp .com
不支持的或伪造的IE5浏览器
发现黑域名 co.bmstatic.net
发现黑域名 x39.mikokroh.biz
客户端包含Apache Struts OGNL ProcessBuilder漏洞利用
疑似Apache Struts OGNL表达式注入(CVE-2017-5638) (Content-Disposition)
通过HTTP下载Windows执行程序
Apache Struts memberAccess OGNL注入远程代码尝试
Apache Struts memberAccess 及 getWriter OGNL远程代码执行尝试
包含Apache Struts OGNL ProcessBuilder URI漏洞利用
发现黑域名 buy1.fmrolhu.ru
发现黑域名 x0.pesmwzdd.com
疑似Apache Struts OGNL表达式注入(CVE-2017-5638)
疑似Struts S2-053-CVE-2017-12611漏洞利用攻击
Apache Struts .getWriter OGNL远程代码执行
Apache Struts getWriter 及 opensymphony OGNL远程代码执行尝试
Apache Struts java.lang OGNL远程代码执行
HTTP POST中包含eval(base64方式编码)
Magento XMLRPC漏洞利用尝试
Nmap Heartbleed请求
SQL服务名缓冲区溢出攻击尝试
SQL用户名缓冲区溢出攻击尝试
TLS HeartBleed非加密请求方法
TeamViewer保活信息
pwn.jsp WEBSHELL攻击
使用Java Url库爬网
十六进制混淆编码(substr)
十六进制混淆编码(非escape字符)
十六进制混淆编码(String.fromCharCode)
十六进制混淆编码(charCodeAt)
十六进制混淆编码(document.write)
发现 Win.Trojan.GWGirl-2
发现槽洞木马Cookie
发现黑IP 89.190.159.181
发现黑域名 buy1.oabrpce.ru
发现黑域名 buy1.otkmgkl.ru
发现黑域名 buy1.pyrxbqc.ru
发现黑域名 buy1.ueasaxq.ru
发现黑域名 buy1.utnukfu.ru
发现黑域名 muma334.320.io
发现黑域名 x20.wzbjqopg.biz
发现黑域名 x22.odabpdtl.info
发现黑域名 x29.mzgxfotd.biz
发现黑域名 x35.mzgxfotd.biz
口令文件访问
可疑的小米手机DNS请求数据泄露
可能遭受POODLE攻击(SSLv3存在漏洞)
异常心跳请求
木马APT1 WEBC2-UGX用户代理
电子加密货币客户端登录
疑似Apache Structs OGNL AllowStaticMethodAccess漏洞利用
疑似Apache Struts OGNL URI Java执行
疑似SQL注入
疑似永恒之蓝漏洞(MS17-010)堆喷射
白名单中共出现1条事件:
动态算法生成域名)