4 月 12 日,雷锋网从腾讯安全获悉,其发现了一起典型的针对企业本地数据库(SQL Server)服务器的弱口令爆破攻击事件。由于受害 SQL Server 服务器使用了较弱的密码口令,作恶团伙在对目标进行数千次连接尝试之后,最终在 4 日 11 点 37 分成功爆破,成功进入该企业服务器。所幸发现及时,这次攻击并未直接给该公司造成任何损失。
腾讯安全御见威胁情报中心对整个事件展开溯源调查后发现,该作恶团伙目前已成功入侵 3700 余台 SQL服务器,涉及到数百个中小型企业,获得了这些企业服务器的管理员权限,在后台下载运行门罗币挖矿木马。同时入侵者还会开启服务器的 3389 端口,添加一个管理员帐户,相当于给自己留了一把可以随时进出企业服务器的“钥匙”。
腾讯安全方面称,这是利用弱口令对企业 SQL 服务器进行爆破攻击的典型案例。关于弱口令没有严格定义,凡是容易被别人猜测或者被破解工具破解的密码都是弱口令,例如“123”、“abc”等。而所谓“爆破”,就是黑客拿着一本包含了很多弱口令的“字典”进行逐次尝试,如果目标服务器的密码碰巧在这本“字典”里,那么这次“爆破”就能成功,黑客也就能顺理成章地进入服务器为所欲为。
针对此次攻击,安全专家还发现了作恶团伙在HFS服务器上的大量“作案工具”,包括 Windows 提 权工具、linux 挖矿程序等一系列黑产工具,同时在另一个 HFS 服务器上存有爆破 SQL 服务器的攻击日志。
[部分受害公司IP]
安全人员通过对被爆破的弱密码进行分析发现,以下弱密码已经被黑客掌握,还在使用这些密码的企业需要提高警惕,建议尽快进行修改,否则一旦被黑客盯上对服务器进行暴力破解,很可能导致关键业务信息泄露。
腾讯安全反病毒实验室负责人马劲松提醒广大企业用户,建议加固 SQL Server 服务器,修补服务器安全漏洞和使用安全密码策略;修改 SQL Sever 服务默认端口,在原始配置基础上更改默认 1433 端口设置,并且设置访问规则,拒绝 1433 端口探测;同时检查服务器是否已开启远程桌面服务,并高频次检查是否有异常帐户添加和登录事件发生,可有效防止不法黑客破解。