防火墙告警中心

最后更新时间: 刚刚

告警筛选

聚合告警列表

总计: 24 条告警
严重

SQL注入攻击

最近发生: 2023-06-15 14:23:45 | 告警次数: 8
AI风险分析
此告警被标记为严重级别,因为:
  • 检测到多个SQL注入尝试,包括使用'OR '1'='1'等经典注入技术
  • 攻击针对的是登录接口,可能导致认证绕过和数据库完全泄露
  • 攻击源来自多个地理位置,表明是有组织的攻击活动
  • 检测到UNION SELECT和WAITFOR DELAY等高级注入技术
  • 攻击成功可能导致整个数据库被窃取或破坏

攻击源信息

IP地址
端口
位置
192.168.1.45
54321
中国, 北京
10.0.34.12
12345
美国, 加州
172.16.23.67
45678
德国, 柏林

受害资产

IP地址
端口
服务
10.10.10.5
80
Web服务
10.10.10.6
443
HTTPS服务

攻击Payload

示例攻击请求:
POST /login.php HTTP/1.1 Host: example.com User-Agent: Mozilla/5.0 Content-Type: application/x-www-form-urlencoded Content-Length: 132 username=admin' OR '1'='1'--&password=123456
其他变体:
1. username=admin' UNION SELECT null,username,password FROM users-- 2. username=admin' AND 1=CONVERT(int,(SELECT table_name FROM information_schema.tables))-- 3. username=admin'; WAITFOR DELAY '0:0:5'--

详细信息

协议
TCP
判断来源
防火墙规则
首次发生
2023-06-15 08:12:33
最近发生
2023-06-15 14:23:45

暴力破解尝试

最近发生: 2023-06-15 13:45:21 | 告警次数: 12
AI风险分析
此告警被标记为级别,因为:
  • 检测到针对SSH和RDP服务的持续暴力破解尝试
  • 攻击频率高(12次),表明是自动化工具发起的攻击
  • 攻击源IP来自高风险地区(俄罗斯、乌克兰)
  • 尝试了root、admin等特权账户
  • 使用了常见弱密码组合(123456, password等)
  • 成功破解可能导致服务器被完全控制
  • 虽然攻击成功率低,但潜在影响严重

攻击源信息

IP地址
端口
位置
45.67.89.123
34567
俄罗斯, 莫斯科
78.90.12.34
23456
乌克兰, 基辅

受害资产

IP地址
端口
服务
10.10.10.10
22
SSH服务
10.10.10.15
3389
RDP服务

攻击Payload

SSH暴力破解日志:
Jun 15 13:45:21 sshd[12345]: Failed password for root from 45.67.89.123 port 34567 ssh2 Jun 15 13:45:23 sshd[12345]: Failed password for root from 45.67.89.123 port 34567 ssh2 Jun 15 13:45:25 sshd[12345]: Failed password for admin from 45.67.89.123 port 34567 ssh2 Jun 15 13:45:27 sshd[12345]: Failed password for test from 45.67.89.123 port 34567 ssh2
常见尝试用户名:
root, admin, test, guest, user, oracle, mysql, postgres, ubuntu, pi
常见尝试密码:
123456, password, admin, 12345, 123456789, qwerty, 111111, 1234567, 123123, abc123

详细信息

协议
TCP
判断来源
异常行为检测
首次发生
2023-06-15 09:05:17
最近发生
2023-06-15 13:45:21

端口扫描活动

最近发生: 2023-06-15 12:30:15 | 告警次数: 4
AI风险分析
此告警被标记为级别,因为:
  • 检测到来自越南IP的端口扫描活动
  • 扫描范围包括22-100和135-139等敏感端口范围
  • 扫描行为特征与Nmap工具匹配
  • 虽然端口扫描本身不直接造成损害,但通常是攻击前的情报收集阶段
  • 扫描频率中等(4次),表明攻击者正在寻找网络弱点
  • 如果发现开放端口,可能会引发后续更严重的攻击

攻击源信息

IP地址
端口
位置
103.45.67.89
34567
越南, 河内

受害资产

IP地址
端口
服务
10.10.10.20
22-100
多端口
10.10.10.25
135-139
多端口

攻击Payload

端口扫描行为特征:
1. 短时间内对多个端口发起TCP SYN请求 2. 使用Nmap扫描特征: - Nmap -sS -p 22,80,443,3389 10.10.10.20 - Nmap -sV -O -p- 10.10.10.25 3. 异常端口访问模式: - 依次访问22,23,25,53,80,443,3389等常见服务端口 - 对高端口(>10000)进行随机扫描
检测到的扫描工具指纹:
- Nmap (版本: 7.92) - Masscan - Zmap

详细信息

协议
TCP/UDP
判断来源
行为分析
首次发生
2023-06-15 11:05:42
最近发生
2023-06-15 12:30:15

Made with DeepSite LogoDeepSite - 🧬 Remix