4 月 12 日,雷鋒網從騰訊安全獲悉,其發現了一起典型的針對企業本地數據庫(SQL Server)服務器的弱口令爆破攻擊事件。由於受害 SQL Server 服務器使用了較弱的密碼口令,作惡團伙在對目標進行數千次連接嘗試之後,最終在 4 日 11 點 37 分成功爆破,成功進入該企業服務器。所幸發現及時,這次攻擊並未直接給該公司造成任何損失。
騰訊安全御見威脅情報中心對整個事件展開溯源調查後發現,該作惡團伙目前已成功入侵 3700 餘臺 SQL服務器,涉及到數百個中小型企業,獲得了這些企業服務器的管理員權限,在後臺下載運行門羅幣挖礦木馬。同時入侵者還會開啟服務器的 3389 端口,添加一個管理員帳戶,相當於給自己留了一把可以隨時進出企業服務器的“鑰匙”。
騰訊安全方面稱,這是利用弱口令對企業 SQL 服務器進行爆破攻擊的典型案例。關於弱口令沒有嚴格定義,凡是容易被別人猜測或者被破解工具破解的密碼都是弱口令,例如“123”、“abc”等。而所謂“爆破”,就是黑客拿著一本包含了很多弱口令的“字典”進行逐次嘗試,如果目標服務器的密碼碰巧在這本“字典”裡,那麼這次“爆破”就能成功,黑客也就能順理成章地進入服務器為所欲為。
針對此次攻擊,安全專家還發現了作惡團伙在HFS服務器上的大量“作案工具”,包括 Windows 提 權工具、linux 挖礦程序等一系列黑產工具,同時在另一個 HFS 服務器上存有爆破 SQL 服務器的攻擊日誌。
[部分受害公司IP]
安全人員通過對被爆破的弱密碼進行分析發現,以下弱密碼已經被黑客掌握,還在使用這些密碼的企業需要提高警惕,建議儘快進行修改,否則一旦被黑客盯上對服務器進行暴力破解,很可能導致關鍵業務信息洩露。
騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業用戶,建議加固 SQL Server 服務器,修補服務器安全漏洞和使用安全密碼策略;修改 SQL Sever 服務默認端口,在原始配置基礎上更改默認 1433 端口設置,並且設置訪問規則,拒絕 1433 端口探測;同時檢查服務器是否已開啟遠程桌面服務,並高頻次檢查是否有異常帳戶添加和登錄事件發生,可有效防止不法黑客破解。
閱讀更多 雷鋒網 的文章
