3700余台SQL伺服器被爆破！這樣的黑客誰來收拾他？

中新經緯客戶端4月12日電 4月4日中午前後，小劉像往常一樣，照例檢查公司網絡系統和相關配置工作，當觀看總控系統時，發現專門用來檢測未知黑客攻擊的騰訊禦界高級威脅檢測系統發出警報，顯示當前公司的網絡系統可能正在遭受不法黑客攻擊，危急之下，小劉第一時間求助騰訊安全應急響應中心。

圖：騰訊禦界高級威脅檢測系統攻陷警報

騰訊安全技術專家在征得企業同意後對機器設備進行遠程取證，同時結合禦界關鍵日誌信息發現，這是一起典型的針對企業本地數據庫(SQL Server)伺服器的弱口令爆破攻擊事件。由於受害SQL Server伺服器使用了較弱的密碼口令，作惡團夥在對目標進行數千次連接嘗試之後，最終在4日11點37分成功爆破，成功進入該企業伺服器。所幸發現及時，騰訊安全技術專家也在第一時間協助該企業進行隔離、殺毒，這次攻擊並未直接給公司造成任何損失。

圖：不法黑客遠程爆破SQL Server伺服器高達數千次之多

此前，騰訊安全曾多次預警過此類利用弱口令對企業SQL伺服器進行爆破攻擊事件。關於弱口令沒有嚴格定義，凡是容易被別人猜測或者被破解工具破解的密碼都是弱口令，例如“123”、“abc”等。而所謂“爆破”，就是黑客拿著一本包含了很多弱口令的“字典”進行逐次嘗試，如果目標伺服器的密碼碰巧在這本“字典”裡，那麽這次“爆破”就能成功，黑客也就能順理成章地進入伺服器為所欲為。

針對此次攻擊，騰訊安全技術專家發現了作惡團夥在HFS伺服器上的大量“作案工具”，包括Windows提權工具、linux挖礦程序等一系列黑產工具，同時在另一個HFS伺服器上存有爆破SQL伺服器的攻擊日誌，樁樁件件，罪狀分明。可見這是一次有組織、有預謀，經過精心計劃的攻擊行動。

其實，這次事件只是這個黑客團夥進行連環攻擊的冰山一角。騰訊安全禦見威脅情報中心對整個事件展開溯源調查後發現，該作惡團夥目前已成功入侵3700余台SQL伺服器，涉及到數百個中小型企業，獲得了這些企業伺服器的管理員權限，在後台下載運行門羅幣挖礦木馬。同時入侵者還會開啟伺服器的3389端口，添加一個管理員帳戶，相當於給自己留了一把可以隨時進出企業伺服器的“鑰匙”。可以說，這樣的行為極易導致更為嚴重的信息洩露事件發生，往往給企業帶來難以估量的損失。

圖：部分受害公司IP

騰訊安全通過對被爆破的弱密碼進行分析發現，以下弱密碼已經被黑客掌握，還在使用這些密碼的企業需要提高警惕，建議盡快進行修改，否則一旦被黑客盯上對伺服器進行暴力破解，很可能導致關鍵業務信息洩露。

圖：SQL伺服器常見弱密碼明細

當前，越來越多的全球性企業被卷入數據洩露行列，而一旦公司數據洩露，不僅損害了用戶個人隱私，企業還要為此買單，面臨一系列失信、口碑下跌的危機。對於企業而言，如何防禦企業信息洩露，避免遭受不法黑客攻擊就顯得至關重要。

為此，騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業用戶，建議加固SQL Server伺服器，修補伺服器安全漏洞和使用安全密碼策略；修改SQL Sever服務默認端口，在原始配置基礎上更改默認1433端口設置，並且設置訪問規則，拒絕1433端口探測；同時檢查伺服器是否已開啟遠程桌面服務，並高頻次檢查是否有異常帳戶添加和登錄事件發生，可有效防止不法黑客破解。

就目前不法黑客攻擊手法來看，提升技術手段和使用可靠的網絡安全產品，是阻斷不法分子入侵的有效方式，本文開頭的企業就是在騰訊禦界高級威脅檢測系統的及時預警下，配合騰訊安全技術人員的積極響應和及時阻斷，成功阻止了一起爆破攻擊。對此，騰訊安全技術專家建議企業全網安裝騰訊禦點終端安全管理系統、騰訊禦界高級威脅檢測系統、騰訊禦見安全態勢感知平台以及騰訊禦知網絡空間風險雷達等產品，在終端安全、邊界安全、網站監測、統一監測方面建立一套集風險監測、分析、預警、響應和可視化為一體的安全體系，可以全方位、立體化保障企業用戶的信息安全。

圖：騰訊禦界高級威脅檢測系統

(中新經緯APP)