腾讯安全:数百家企业SQL数据库遭爆破 企业须注意防范

2019-11-22 16:54:33
腾讯安全御见威胁情报中心监测到一例利用弱口令针对SQL数据库的爆破攻击事件。攻击者扫描SQL服务器,爆破成功后根据系统环境在被攻陷服务器内植入安装多个远程控制木马,且创建多个管理员用户,对企业业务系统的运行和机密数据信息安全造成极大威胁。据监测数据显示,目前攻击者已控制数百台服务器和网站。

部分网友在设置密码时会有这样的习惯,在多个平台使用同样的密码,或仅使用数字字母单一字符,用个人姓名生日进行组合等。尽管这样的弱口令密码设置方式便于联想记忆,但也给不法分子作恶留下了可乘之机。如果掌控企业重要服务器的网管也有这样的坏习惯,对于企业而言很可能意味着一场安全灾难。不法黑客往往会利用弱口令,通过密码字典进行猜解爆破登陆,给用户隐私、企业安全带来严峻挑战。

近期,腾讯安全御见威胁情报中心监测到一例利用弱口令针对SQL数据库的爆破攻击事件。攻击者扫描SQL服务器,爆破成功后根据系统环境在被攻陷服务器内植入安装多个远程控制木马,且创建多个管理员用户,对企业业务系统的运行和机密数据信息安全造成极大威胁。据监测数据显示,目前攻击者已控制数百台服务器和网站。

目前,腾讯御点终端安全管理系统已全面拦截并查杀该作恶团伙。同时,腾讯安全提醒企业网管务必提高安全意识,数据库被不法黑客暴力破解会导致企业关键业务信息泄露,建议尽快安装服务器漏洞补丁,并停止使用弱口令,以防作恶团伙攻击,确保企业数据和后台服务的安全性。

(图:不法黑客攻击网站示例)

经腾讯安全技术专家分析,该团伙不仅具备高超的攻击手段,而且还会开启“随机应变”模式。在释放病毒木马的同时,还会根据中招用户不同的系统环境开启攻击。攻击者首先会针对普通Windows服务器下发TeamView(一款被广泛使用的远程控制软件)实施远程控制,对Web服务器则在植入Webshell后,对网站进行批量挂马,这就相当于留下一把可以随时进出企业服务器的“钥匙”,使企业关键服务器成为不法黑客深入攻击的跳板。截至目前,该团伙木马传播整体呈现小幅爆发趋势,已有超过40家网站被植入300余个Webshell

此外,该木马还展现出极强的“扩散力”。一旦爆破入侵成功,即可获取电脑的IP地址、操作系统版本等基本信息,随后利用提权漏洞采取进一步的攻击行动,以便完全控制企业数据库服务器,窃取大量用户个人隐私信息。

当前越来越多的企业被卷入数据泄露行列,一旦公司数据外泄,不仅损害用户个人隐私,企业还可能面临一系列失信危机。对于企业而言,如何抵御不法黑客攻击,防御企业信息泄露成为日常网络安全建设工作的重中之重。

为此,腾讯安全反病毒实验室负责人马劲松提醒企业用户应对新型挖矿木马对SQL数据库的爆破攻击提高警惕,建议用户及时修补服务器安全漏洞,并修改1433等端口的默认访问规则,加固SQL Server服务器的访问控制。使用腾讯御点终端安全管理系统的漏洞修复功能,及时修复系统高危漏洞;采用高强度密码,切勿使用“sa账号密码等弱口令,防止黑客暴力破解;同时,推荐部署腾讯御界高级威胁检测系统检测可能的黑客攻击,通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击,全方位保障企业用户的网络安全。

(图:腾讯御界高级威胁检测系统)

最新资讯