近日,腾讯御见威胁情报中心感知到,不法黑客利用爆破1433端口入侵国内某医疗连锁机构。一旦完全控制SQL Server服务器,不法黑客轻则利用恶意脚本下载挖矿木马在数据库服务器上进行门罗币挖矿操作;重则窃取库中数据进行非法交易、运行勒索病毒破坏服务器数据进行勒索钱财、以及持续向局域网内其他电脑发起DDoS攻击等一系列恶意攻击行为。目前,腾讯电脑管家已对该违规行为进行拦截查杀。
(图:某地区医疗美容医院遭不法黑客入侵)
腾讯电脑管家安全专家分析发现,不法黑客利用1433端口批量爆破工具入侵医院服务器,爆破成功后利用写入下载命令触发下载恶意脚本,恶意脚本执行后会继续下载挖矿组件进行挖矿。不过庆幸的是,此次攻击暂未对该医院造成直接的经济损失。
目前针对企业服务器的攻击以弱口令爆破服务器后远程登录的方式最为常见,由于一些管理员的安全意识薄弱,设置密码简单容易猜解,不法黑客们常常会利用sa弱口令,通过密码字典进行猜解爆破登录。根据腾讯御见威胁情报中心监测,截至目前,不法黑客使用同样的手法,已入侵多家单位超过300台服务器用于挖矿,主要集中在广东、河北等地区。
(图:此次恶意攻击地域分布图)
目前,数据泄露事件已成几何式增长。近日新加坡还遭遇一起“史无前例”的网络攻击事件,不法黑客窃取新保集团数据库资料约150万个人信息资料。类似恶意攻击事件给个人隐私保护、企业安全生产、经济社会发展乃至国家安全都可能带来新的挑战。
为避免此类不法黑客攻击事件再次发生,腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松向企业网管提出三大建议:加固SQL Server服务器,修补服务器安全漏洞,切勿使用弱口令,尤其是sa账号密码;修改SQL Server服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测;最后,建议网站管理员可使用腾讯云网站管家智能防护平台,通过Web入侵防护、0Day漏洞补丁修复、恶意访问惩罚、云备份防篡改等多维度防御策略全面防护网站的系统及业务安全。