| ID | sid | Title | BUGTRAQ ID | CVE ID | App_Type | Act | Bug_Description |
| 1657 | 1159 | Spring Framework远程代码执行漏洞 | 2022-22965 | Spring Framework | Edit | Spring Framework 是一个 Java/Java EE/.NET 的分层应用程序框架.该漏洞由于JDK 9 + 中新添加的函数绕过了Spring CachedIntrospectionResults 对ClassLoader获取的限制,导致可以获取到任意ClassLoader,攻击者可以通过发送精心构造的数据请求来注入恶意属性触发漏洞,导致远程代码执行的漏洞风险。 | |
| 1656 | 1158 | Spring Framework远程代码执行漏洞 | 2022-22965 | Spring Framework | Edit | Spring Framework 是一个 Java/Java EE/.NET 的分层应用程序框架.该漏洞由于JDK 9 + 中新添加的函数绕过了Spring CachedIntrospectionResults 对ClassLoader获取的限制,导致可以获取到任意ClassLoader,攻击者可以通过发送精心构造的数据请求来注入恶意属性触发漏洞,导致远程代码执行的漏洞风险。 | |
| 1655 | 1157 | ET EXPLOIT Apache log4j RCE Attempt (tcp ldaps) (CVE-2021-44228) | 2021-44228 | Apache | Edit | Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 | |
| 1654 | 1156 | ET EXPLOIT Apache log4j RCE Attempt (udp ldaps) (CVE-2021-44228) | 2021-44228 | Apache | Edit | Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 | |
| 1653 | 1155 | ET EXPLOIT Apache log4j RCE Attempt (http dns) (CVE-2021-44228) | 2021-44228 | Apache | Edit | Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 | |
| 1652 | 1154 | ET EXPLOIT Apache log4j RCE Attempt (tcp dns) (CVE-2021-44228) | 2021-44228 | Apache | Edit | Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 | |
| 1651 | 1153 | ET EXPLOIT Apache log4j RCE Attempt (udp dns) (CVE-2021-44228) | 2021-44228 | Apache | Edit | Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 | |
| 1650 | 1152 | ET EXPLOIT Apache log4j RCE Attempt (udp ldap) (CVE-2021-44228) | 2021-44228 | Apache | Edit | Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 | |
| 167 | 1151 | ET EXPLOIT Apache log4j RCE Attempt (udp rmi) (CVE-2021-44228) | 2021-44228 | Apache | Edit | Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 | |
| 166 | 1150 | ET EXPLOIT Apache log4j RCE Attempt (tcp rmi) (CVE-2021-44228) | 2021-44228 | Apache | Edit | Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 | |
| 165 | 1149 | ET EXPLOIT Apache log4j RCE Attempt (tcp ldap) (CVE-2021-44228) | 2021-44228 | Apache | Edit | Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 | |
| 164 | 1148 | ET EXPLOIT Apache log4j RCE Attempt (http rmi) (CVE-2021-44228) | 2021-44228 | Apache | Edit | Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 | |
| 163 | 1147 | ET EXPLOIT Apache log4j RCE Attempt (http ldap) (CVE-2021-44228) | 2021-44228 | Apache | Edit | Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 | |
| 162 | 1146 | 厂商 [ 机沃科技 ] [ 态感态探 ] 规则,详见规则描述! | 防火墙 | Edit | gaia系统是checkpoint下一代防火墙系统,属于第三网络设施。 | ||
| 149 | 1145 | 发现安全事件,来自特定厂商规则,详见规则描述! | JSP | Edit | JSP木马,属于网页脚本木马。一般入侵者会想尽办法把网页脚本木马写入或上传到WEB服务器。 虽然这种类型木马是网页脚本级,但危害巨大,并且近几年已经基本替代客户端二进制形式的木马,形成新的黑客控制趋势。 入侵者首先把一句话木马写入或上传到WEB服务器,从而获得WEB权限。然后再向WEB服务器上传功能强大的大马,进而执行信息收集、敏感信息窃取等危险操作。木马的名称一般与系统文件名近似。 | ||
| 148 | 1144 | 发现安全事件,来自特定厂商规则,详见规则描述! | ALL | Edit | Hydra是著名的黑客组织THC出品的一款开源暴力破解工具。这是一个验证性质的工具,主要目的用来进行口令强度验证,即口令破解。支持的破解服务有:FTP,MSSQL,MYSQL,POP3,SSH等。恶意用途远大于正常用途。 | ||
| 147 | 1143 | 发现安全事件,来自特定厂商规则,详见规则描述! | ALL | Edit | nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。也是恶意者或黑客最常使用的工具之一。 | ||
| 146 | 1142 | 发现安全事件,来自特定厂商规则,详见规则描述! | ASP | Edit | asp木马,属于网页脚本木马。一般入侵者会想尽办法把网页脚本木马写入或上传到WEB服务器。 虽然这种类型木马是网页脚本级,但危害巨大,并且近几年已经基本替代客户端二进制形式的木马,形成新的黑客控制趋势。 入侵者首先把一句话木马写入或上传到WEB服务器,从而获得WEB权限。然后再向WEB服务器上传功能强大的大马,进而执行信息收集、敏感信息窃取等危险操作。木马的名称一般与系统文件名近似。 | ||
| 145 | 1141 | 发现安全事件,来自特定厂商规则,详见规则描述! | PHP | Edit | PHP木马,属于网页脚本木马。一般入侵者会想尽办法把网页脚本木马写入或上传到WEB服务器。 虽然这种类型木马是网页脚本级,但危害巨大,并且近几年已经基本替代客户端二进制形式的木马,形成新的黑客控制趋势。 入侵者首先把一句话木马写入或上传到WEB服务器,从而获得WEB权限。然后再向WEB服务器上传功能强大的大马,进而执行信息收集、敏感信息窃取等危险操作。木马的名称一般与系统文件名近似。 | ||
| 144 | 1140 | 发现安全事件,来自特定厂商规则,详见规则描述! | ALL | Edit | 发生此问题原因是因为在监控文件中,发现了敏感字符woyaozaofan,这可能为木马或恶意程序代码片段。 | ||
| 143 | 1139 | 发现安全事件,来自特定厂商规则,详见规则描述! | ALL | Edit | 发生此问题原因是因为在监控文件中,发现了敏感字符goacepass,这可能为木马或恶意程序代码片段。 | ||
| 142 | 1138 | 发现安全事件,来自特定厂商规则,详见规则描述! | LINUX | Edit | 发生此问题原因是有可疑www-data用户进程运行。 | ||
| 141 | 1137 | 发现安全事件,来自特定厂商规则,详见规则描述! | LINUX | Edit | 发生此问题原因是有可疑www-data用户进程运行。 | ||
| 140 | 1136 | 发现安全事件,来自特定厂商规则,详见规则描述! | LINUX | Edit | 发生此问题原因是有可疑nobody用户进程运行。 | ||
| 139 | 1135 | 发现安全事件,来自特定厂商规则,详见规则描述! | LINUX | Edit | 发生此问题原因是有可疑nobody用户进程运行。 | ||
| 138 | 1134 | 发现安全事件,来自特定厂商规则,详见规则描述! | 数据库 | Edit | 这种方法用于导出或导入数据的内容,或者通过语句向外对文件写入木马。一旦木马写入成功,可通过菜刀等工具进行远程远程连接,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 | ||
| 137 | 1133 | 发现安全事件,来自特定厂商规则,详见规则描述! | 数据库 | Edit | 数据库暴力破解是指攻击者通过密码字典或随机组合密码的方式尝试登陆服务器(针对的是全网数据库),这种攻击行为一般不会有明确攻击目标,一旦攻击成功从而进行硬盘数据浏览,修改数据,脱库等操作,造成损失。 | ||
| 136 | 1132 | 发现安全事件,来自特定厂商规则,详见规则描述! | SSH | Edit | SSH暴力破解是指攻击者通过密码字典或随机组合密码的方式尝试登陆服务器(针对的是全网机器),这种攻击行为一般不会有明确攻击目标,多数是通过扫描软件直接扫描整个广播域或网段,一旦攻击成功,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 | ||
| 135 | 1131 | 发现安全事件,来自特定厂商规则,详见规则描述! | SSH | Edit | SSH暴力破解是指攻击者通过密码字典或随机组合密码的方式尝试登陆服务器(针对的是全网机器),这种攻击行为一般不会有明确攻击目标,多数是通过扫描软件直接扫描整个广播域或网段,一旦攻击成功,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 | ||
| 134 | 1130 | 发现安全事件,来自特定厂商规则,详见规则描述! | WEB | Edit | 文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严或webserver相关解析漏洞未修复而造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。 攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁! | ||
| 133 | 1129 | 发现安全事件,来自特定厂商规则,详见规则描述! | WEB | Edit | 文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严或webserver相关解析漏洞未修复而造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。 攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁! | ||
| 132 | 1128 | 发现安全事件,来自特定厂商规则,详见规则描述! | WEB | Edit | 发生此问题可能有恶意者sql 注入。 一旦注入成功,恶意者可查看、修改、删除站点资源,更有可能,恶意者可上传动态脚本木马,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 | ||
| 131 | 1127 | 发现安全事件,来自特定厂商规则,详见规则描述! | WEB | Edit | 发生此问题可能有恶意者sql 注入。 一旦注入成功,恶意者可查看、修改、删除站点资源,更有可能,恶意者可上传动态脚本木马,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 | ||
| 130 | 1126 | 发现安全事件,来自特定厂商规则,详见规则描述! | WEB | Edit | 发生此问题可能有恶意者sql 注入。 一旦注入成功,恶意者可查看、修改、删除站点资源,更有可能,恶意者可上传动态脚本木马,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 | ||
| 129 | 1125 | 发现安全事件,来自特定厂商规则,详见规则描述! | WEB | Edit | 发生此问题可能有恶意者sql 注入。 一旦注入成功,恶意者可查看、修改、删除站点资源,更有可能,恶意者可上传动态脚本木马,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 | ||
| 128 | 1124 | 发现安全事件,来自特定厂商规则,详见规则描述! | WEB | Edit | 发生此问题可能有恶意者sql 注入。 一旦注入成功,恶意者可查看、修改、删除站点资源,更有可能,恶意者可上传动态脚本木马,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 | ||
| 127 | 1123 | 发现安全事件,来自特定厂商规则,详见规则描述! | PHP | Edit | 发生此问题可能有恶意者在访问名称包含admin.php的文件。 名称包含admin.php的一般为管理后台资源,一旦访问并登录成功,恶意者可查看、修改、删除站点资源,更有可能,恶意者可上传动态脚本木马,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 | ||
| 126 | 1122 | 发现安全事件,来自特定厂商规则,详见规则描述! | WEB | Edit | 发生此问题可能有恶意者在访问名称包含admin的文件。 名称包含admin的文件一般为管理后台资源,一旦访问并登录成功,恶意者可查看、修改、删除站点资源,更有可能,恶意者可上传动态脚本木马,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 | ||
| 125 | 1121 | 发现安全事件,来自特定厂商规则,详见规则描述! | WEB | Edit | 发生此问题可能有恶意者在访问/jiwo.net文件。 /jiwo.net一般为管理后台资源,一旦访问并登录成功,恶意者可查看、修改、删除站点资源,更有可能,恶意者可上传动态脚本木马,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 | ||
| 124 | 1120 | 发现安全事件,来自特定厂商规则,详见规则描述! | PHP | Edit | 发生此问题可能有恶意者在访问manager.php文件。 manager.php一般为管理后台资源,一旦访问并登录成功,恶意者可查看、修改、删除站点资源,更有可能,恶意者可上传动态脚本木马,从而进行硬盘浏览、命令执行、提权操作甚至内网渗透。 |