每周升级通告-2021-11-09

宣布时间 2021-12-10

新增事务


事务名称:

TCP_可疑行为_BCEL编码绕过

清静类型:

其它可疑行为

事务形貌:

检测到源IP通过BCEL对异常类举行编码,随后使用java的类加载机制,通过这个类加载器来实现对自界说类的加载,来抵达远程执行下令的作用。

更新时间:

20211109


 

事务名称:

HTTP_清静误差_用友GRP-U8_SQL注入误差

清静类型:

SQL注入

事务形貌:

用友GRP-U8是一款常见的政府财务治理软件。保存SQL注入误差,攻击者可能使用此误差窃取敏感信息,获取治理员权限。

更新时间:

20211109

 

 

事务名称:

HTTP_木马后门_webshell_Yu1uPHPSh3ll_会见

清静类型:

Webshell会见

事务形貌:

检测到源IP地点主机正在向目的IP地点主时机见可疑的Yu1uPHPSh3llwebshell文件。webshell是web入侵的剧本攻击工具。简朴说,webshell就是一个用asp或php等编写的木马后门,攻击者在入侵了一个网站后,经常将这些asp或php等木马后门文件安排在网站服务器的web目录中,与正常的网页文件混在一起。然后攻击者就可以用web的方法,通过该木马后门控制网站服务器,包括上传下载文件、审查数据库、执行恣意程序下令等。webshell可以穿越防火墙,由于与被控制的服务器或远程主机交流的数据都是通过80端口转达的,因此不会被防火墙阻挡。并且使用webshell一样平常不会在系统日志中留下纪录,只会在网站的web日志中留下一些数据提交纪录,治理员较难看收支侵痕迹。

更新时间:

20211109

 

 修改事务

 

事务名称:

HTTP_通用_目录穿越误差[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]

清静类型:

非授权会见/权限绕过

事务形貌:

检测到源IP主机正在实验对目的IP主机举行目录穿越误差攻击实验的行为。目录穿越误差能使攻击者绕过Web服务器的会见限制,对web根目录以外的文件夹,恣意地读取甚至写入文件数据。此规则是一条通用规则,其他误差(甚至一些0day误差)攻击的payload也有可能触发此事务报警。由于正常营业中一样平常不会爆发此事务特征的流量,以是需要重点关注。允许远程攻击者会见敏感文件。

更新时间:

20211109

 

 

事务名称:

 HTTP_清静扫描_WEB扫描器行为

清静类型:

网络扫描

事务形貌:

检测到源IP地点的主机正在使用WEB扫描工具对目的IP地点举行误差扫描。WEB扫描器通常是攻击者用来做服务扫描、误差测试等。通过误差扫描,可以自动快速探测一些常见误差情形,当保存误差时便于后续举行使用攻击。

更新时间:

20211109