騰訊安全：數(shù)百家企業(yè)SQL服務(wù)器遭非法攻擊 或致企業(yè)數(shù)據(jù)泄露

4月4日中午前后，小劉像往常一樣，照例檢查公司網(wǎng)絡(luò)系統(tǒng)和相關(guān)配置工作，當觀看總控系統(tǒng)時，發(fā)現(xiàn)專門用來檢測未知黑客攻擊的騰訊御界高級威脅檢測系統(tǒng)發(fā)出警報，顯示當前公司的網(wǎng)絡(luò)系統(tǒng)可能正在遭受不法黑客攻擊，危急之下，小劉第一時間求助騰訊安全應(yīng)急響應(yīng)中心。

　　(圖：騰訊御界高級威脅檢測系統(tǒng)攻陷警報)

騰訊安全技術(shù)專家在征得企業(yè)同意后對機器設(shè)備進行遠程取證，同時結(jié)合御界關(guān)鍵日志信息發(fā)現(xiàn)，這是一起典型的針對企業(yè)本地數(shù)據(jù)庫(SQL Server)服務(wù)器的弱口令爆破攻擊事件。由于受害SQL Server服務(wù)器使用了較弱的密碼口令，作惡團伙在對目標進行數(shù)千次連接嘗試之后，最終在4日11點37分成功爆破，成功進入該企業(yè)服務(wù)器。所幸發(fā)現(xiàn)及時，騰訊安全技術(shù)專家也在第一時間協(xié)助該企業(yè)進行隔離、殺毒，這次攻擊并未直接給公司造成任何損失。

　　(圖：不法黑客遠程爆破SQL Server服務(wù)器高達數(shù)千次之多)

此前，騰訊安全曾多次預(yù)警過此類利用弱口令對企業(yè)SQL服務(wù)器進行爆破攻擊事件。關(guān)于弱口令沒有嚴格定義，凡是容易被別人猜測或者被破解工具破解的密碼都是弱口令，例如“123”、“abc”等。而所謂“爆破”，就是黑客拿著一本包含了很多弱口令的“字典”進行逐次嘗試，如果目標服務(wù)器的密碼碰巧在這本“字典”里，那么這次“爆破”就能成功，黑客也就能順理成章地進入服務(wù)器為所欲為。

針對此次攻擊，騰訊安全技術(shù)專家發(fā)現(xiàn)了作惡團伙在HFS服務(wù)器上的大量“作案工具”，包括Windows提權(quán)工具、linux挖礦程序等一系列黑產(chǎn)工具，同時在另一個HFS服務(wù)器上存有爆破SQL服務(wù)器的攻擊日志，樁樁件件，罪狀分明?？梢娺@是一次有組織、有預(yù)謀，經(jīng)過精心計劃的攻擊行動。

其實，這次事件只是這個黑客團伙進行連環(huán)攻擊的冰山一角。騰訊安全御見威脅情報中心對整個事件展開溯源調(diào)查后發(fā)現(xiàn)，該作惡團伙目前已成功入侵3700余臺SQL服務(wù)器，涉及到數(shù)百個中小型企業(yè)，獲得了這些企業(yè)服務(wù)器的管理員權(quán)限，在后臺下載運行門羅幣挖礦木馬。同時入侵者還會開啟服務(wù)器的3389端口，添加一個管理員帳戶，相當于給自己留了一把可以隨時進出企業(yè)服務(wù)器的“鑰匙”。可以說，這樣的行為極易導(dǎo)致更為嚴重的信息泄露事件發(fā)生，往往給企業(yè)帶來難以估量的損失。

　　(圖：部分受害公司IP)

騰訊安全通過對被爆破的弱密碼進行分析發(fā)現(xiàn)，以下弱密碼已經(jīng)被黑客掌握，還在使用這些密碼的企業(yè)需要提高警惕，建議盡快進行修改，否則一旦被黑客盯上對服務(wù)器進行暴力破解，很可能導(dǎo)致關(guān)鍵業(yè)務(wù)信息泄露。

　　(圖：SQL服務(wù)器常見弱密碼明細)

當前，越來越多的全球性企業(yè)被卷入數(shù)據(jù)泄露行列，而一旦公司數(shù)據(jù)泄露，不僅損害了用戶個人隱私，企業(yè)還要為此買單，面臨一系列失信、口碑下跌的危機。對于企業(yè)而言，如何防御企業(yè)信息泄露，避免遭受不法黑客攻擊就顯得至關(guān)重要。

為此，騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業(yè)用戶，建議加固SQL Server服務(wù)器，修補服務(wù)器安全漏洞和使用安全密碼策略;修改SQL Sever服務(wù)默認端口，在原始配置基礎(chǔ)上更改默認1433端口設(shè)置，并且設(shè)置訪問規(guī)則，拒絕1433端口探測;同時檢查服務(wù)器是否已開啟遠程桌面服務(wù)，并高頻次檢查是否有異常帳戶添加和登錄事件發(fā)生，可有效防止不法黑客破解。

就目前不法黑客攻擊手法來看，提升技術(shù)手段和使用可靠的網(wǎng)絡(luò)安全產(chǎn)品，是阻斷不法分子入侵的有效方式，本文開頭的企業(yè)就是在騰訊御界高級威脅檢測系統(tǒng)的及時預(yù)警下，配合騰訊安全技術(shù)人員的積極響應(yīng)和及時阻斷，成功阻止了一起爆破攻擊。對此，騰訊安全技術(shù)專家建議企業(yè)全網(wǎng)安裝騰訊御點終端安全管理系統(tǒng)、騰訊御界高級威脅檢測系統(tǒng)、騰訊御見安全態(tài)勢感知平臺以及騰訊御知網(wǎng)絡(luò)空間風險雷達等產(chǎn)品，在終端安全、邊界安全、網(wǎng)站監(jiān)測、統(tǒng)一監(jiān)測方面建立一套集風險監(jiān)測、分析、預(yù)警、響應(yīng)和可視化為一體的安全體系，可以全方位、立體化保障企業(yè)用戶的信息安全。

　　(圖：騰訊御界高級威脅檢測系統(tǒng))

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。