3700余臺SQL服務(wù)器被爆破

4 月 12 日，雷鋒網(wǎng)從騰訊安全獲悉，其發(fā)現(xiàn)了一起典型的針對企業(yè)本地?cái)?shù)據(jù)庫（SQL Server）服務(wù)器的弱口令爆破攻擊事件。由于受害 SQL Server 服務(wù)器使用了較弱的密碼口令，作惡團(tuán)伙在對目標(biāo)進(jìn)行數(shù)千次連接嘗試之后，最終在 4 日 11 點(diǎn) 37 分成功爆破，成功進(jìn)入該企業(yè)服務(wù)器。所幸發(fā)現(xiàn)及時(shí)，這次攻擊并未直接給該公司造成任何損失。

騰訊安全御見威脅情報(bào)中心對整個(gè)事件展開溯源調(diào)查后發(fā)現(xiàn)，該作惡團(tuán)伙目前已成功入侵 3700 余臺 SQL服務(wù)器，涉及到數(shù)百個(gè)中小型企業(yè)，獲得了這些企業(yè)服務(wù)器的管理員權(quán)限，在后臺下載運(yùn)行門羅幣挖礦木馬。同時(shí)入侵者還會開啟服務(wù)器的 3389 端口，添加一個(gè)管理員帳戶，相當(dāng)于給自己留了一把可以隨時(shí)進(jìn)出企業(yè)服務(wù)器的“鑰匙”。

騰訊安全方面稱，這是利用弱口令對企業(yè) SQL 服務(wù)器進(jìn)行爆破攻擊的典型案例。關(guān)于弱口令沒有嚴(yán)格定義，凡是容易被別人猜測或者被破解工具破解的密碼都是弱口令，例如“123”、“abc”等。而所謂“爆破”，就是黑客拿著一本包含了很多弱口令的“字典”進(jìn)行逐次嘗試，如果目標(biāo)服務(wù)器的密碼碰巧在這本“字典”里，那么這次“爆破”就能成功，黑客也就能順理成章地進(jìn)入服務(wù)器為所欲為。

針對此次攻擊，安全專家還發(fā)現(xiàn)了作惡團(tuán)伙在HFS服務(wù)器上的大量“作案工具”，包括 Windows 提 權(quán)工具、linux 挖礦程序等一系列黑產(chǎn)工具，同時(shí)在另一個(gè) HFS 服務(wù)器上存有爆破 SQL 服務(wù)器的攻擊日志。

［部分受害公司IP］

安全人員通過對被爆破的弱密碼進(jìn)行分析發(fā)現(xiàn)，以下弱密碼已經(jīng)被黑客掌握，還在使用這些密碼的企業(yè)需要提高警惕，建議盡快進(jìn)行修改，否則一旦被黑客盯上對服務(wù)器進(jìn)行暴力破解，很可能導(dǎo)致關(guān)鍵業(yè)務(wù)信息泄露。

騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松提醒廣大企業(yè)用戶，建議加固 SQL Server 服務(wù)器，修補(bǔ)服務(wù)器安全漏洞和使用安全密碼策略；修改 SQL Sever 服務(wù)默認(rèn)端口，在原始配置基礎(chǔ)上更改默認(rèn) 1433 端口設(shè)置，并且設(shè)置訪問規(guī)則，拒絕 1433 端口探測；同時(shí)檢查服務(wù)器是否已開啟遠(yuǎn)程桌面服務(wù)，并高頻次檢查是否有異常帳戶添加和登錄事件發(fā)生，可有效防止不法黑客破解。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。