正文

黑客爆破攻击Sql Server,已控制数百台企业服务器和网站

admin
admin V管理员 /0 评论 /13 阅读
1203
此篇文章发布距今已超过1247天,您需要注意文章的内容或图片是否可用!

       SQL爆破、提权攻击已成攻击者惯用伎俩,但仍有部分企业网管使用弱口令导致服务器被黑客操控。近日,安全研究员发现一起针对SQL数据库的爆破攻击事件,攻击成功后会根据系统环境下发远控木马、植入Webshell、在目标服务器创建管理员用户。本次攻击的失陷服务器已达数百台之多,主要受害者位于陕西、山西、吉林等地。

       该木马的攻击行动具有如下特点:

       1. 木马针对普通windows服务器下发TeamView实施远程控制,监测数据显示该木马已控制数百台服务器;

       2. 针对web服务器,木马植入webshell,已知有40多家网站共植入300余个Webshell;

       3. 木马会获取中毒主机的一般信息,包括:IP地址、操作系统版本、用户名、CPU、内存、磁盘、安全软件等基本信息,并将这些信息发送到远程服务器;

       4. 入侵成功后,会开启服务器的RDP服务(远程桌面服务),且会创建多个具有管理员权限的内置账户,方便远程登录。

       解决方案:

       1. 加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。

       2. 修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。

       3. 企业用户可及时对服务器打补丁,防止这类木马利用windows提权漏洞,从而防范此类攻击。