4 月 12 日，雷鋒網(wǎng)從騰訊安全獲悉，其發(fā)現(xiàn)了一起典型的針對企業(yè)本地數(shù)據(jù)庫（SQL Server）服務器的弱口令爆破攻擊事件。由于受害 SQL Server 服務器使用了較弱的密碼口令，作惡團伙在對目標進行數(shù)千次連接嘗試之后，最終在 4 日 11 點 37 分成功爆破，成功進入該企業(yè)服務器。所幸發(fā)現(xiàn)及時，這次攻擊并未直接給該公司造成任何損失。

騰訊安全御見威脅情報中心對整個事件展開溯源調(diào)查后發(fā)現(xiàn)，該作惡團伙目前已成功入侵 3700 余臺 SQL服務器，涉及到數(shù)百個中小型企業(yè)，獲得了這些企業(yè)服務器的管理員權(quán)限，在后臺下載運行門羅幣挖礦木馬。同時入侵者還會開啟服務器的 3389 端口，添加一個管理員帳戶，相當于給自己留了一把可以隨時進出企業(yè)服務器的“鑰匙”。

騰訊安全方面稱，這是利用弱口令對企業(yè) SQL 服務器進行爆破攻擊的典型案例。關于弱口令沒有嚴格定義，凡是容易被別人猜測或者被破解工具破解的密碼都是弱口令，例如“123”、“abc”等。而所謂“爆破”，就是黑客拿著一本包含了很多弱口令的“字典”進行逐次嘗試，如果目標服務器的密碼碰巧在這本“字典”里，那么這次“爆破”就能成功，黑客也就能順理成章地進入服務器為所欲為。

針對此次攻擊，安全專家還發(fā)現(xiàn)了作惡團伙在HFS服務器上的大量“作案工具”，包括 Windows 提 權(quán)工具、linux 挖礦程序等一系列黑產(chǎn)工具，同時在另一個 HFS 服務器上存有爆破 SQL 服務器的攻擊日志。

［部分受害公司IP］

安全人員通過對被爆破的弱密碼進行分析發(fā)現(xiàn)，以下弱密碼已經(jīng)被黑客掌握，還在使用這些密碼的企業(yè)需要提高警惕，建議盡快進行修改，否則一旦被黑客盯上對服務器進行暴力破解，很可能導致關鍵業(yè)務信息泄露。

騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業(yè)用戶，建議加固 SQL Server 服務器，修補服務器安全漏洞和使用安全密碼策略；修改 SQL Sever 服務默認端口，在原始配置基礎上更改默認 1433 端口設置，并且設置訪問規(guī)則，拒絕 1433 端口探測；同時檢查服務器是否已開啟遠程桌面服務，并高頻次檢查是否有異常帳戶添加和登錄事件發(fā)生，可有效防止不法黑客破解。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。