3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件

  从腾讯安全获悉,其发现了一起典型的针对企业本地数据库(SQL Server)服务器的弱口令爆破攻击事件。由于受害 SQL Server 服务器使用了较弱的密码口令,作恶团伙在对目标进行数千次连接尝试之后,最终在 4 日 11 点 37 分成功爆破,成功进入该企业服务器。所幸发现及时,这次攻击并未直接给该公司造成任何损失。

  此前,腾讯安全曾多次预警过此类利用弱口令对企业SQL服务器进行爆破攻击事件。关于弱口令没有严格定义,凡是容易被别人猜测或者被破解工具破解的密码都是弱口令,例如“123”、“abc”等。而所谓“爆破”,就是黑客拿着一本包含了很多弱口令的“字典”进行逐次尝试,如果目标服务器的密码碰巧在这本“字典”里,那么这次“爆破”就能成功,黑客也就能顺理成章地进入服务器为所欲为。

  针对此次攻击,腾讯安全技术专家发现了作恶团伙在HFS服务器上的大量“作案工具”,包括Windows提权工具、linux挖矿程序等一系列黑产工具,同时在另一个HFS服务器上存有爆破SQL服务器的攻击日志,桩桩件件,罪状分明。可见这是一次有组织、有预谋,经过精心计划的攻击行动。其实,这次事件只是这个黑客团伙进行连环攻击的冰山一角。腾讯安全御见威胁情报中心对整个事件展开溯源调查后发现,该作恶团伙目前已成功入侵3700余台SQL服务器,涉及到数百个中小型企业,获得了这些企业服务器的管理员权限,在后台下载运行门罗币挖矿木马。同时入侵者还会开启服务器的3389端口,添加一个管理员帐户,相当于给自己留了一把可以随时进出企业服务器的“钥匙”。可以说,这样的行为极易导致更为严重的信息泄露事件发生,往往给企业带来难以估量的损失。

(图:部分受害公司IP)

  腾讯安全通过对被爆破的弱密码进行分析发现,以下弱密码已经被黑客掌握,还在使用这些密码的企业需要提高警惕,建议尽快进行修改,否则一旦被黑客盯上对服务器进行暴力破解,很可能导致关键业务信息泄露。

(图:SQL服务器常见弱密码明细)

  腾讯安全反病毒实验室负责人提醒广大企业用户,建议加固 SQL Server 服务器,修补服务器安全漏洞和使用安全密码策略;修改 SQL Sever 服务默认端口,在原始配置基础上更改默认 1433 端口设置,并且设置访问规则,拒绝 1433 端口探测;同时检查服务器是否已开启远程桌面服务,并高频次检查是否有异常帐户添加和登录事件发生,可有效防止不法黑客破解。

发表评论

评论已关闭。

相关文章