黑客爆破攻击Sql Server,已控制数百台企业服务器和网站 安全响应中心

admin 9月前 159

SQL爆破、提权攻击已成攻击者惯用伎俩,但仍有部分企业网管使用弱口令导致服务器被黑客操控。近日,安全研究员发现一起针对SQL数据库的爆破攻击事件,攻击成功后会根据系统环境下发远控木马、植入Webshell、在目标服务器创建管理员用户。本次攻击的失陷服务器已达数百台之多,主要受害者位于陕西、山西、吉林等地。

       该木马的攻击行动具有如下特点:

       1. 木马针对普通windows服务器下发TeamView实施远程控制,监测数据显示该木马已控制数百台服务器;

       2. 针对web服务器,木马植入webshell,已知有40多家网站共植入300余个Webshell;

       3. 木马会获取中毒主机的一般信息,包括:IP地址、操作系统版本、用户名、CPU、内存、磁盘、安全软件等基本信息,并将这些信息发送到远程服务器;

       4. 入侵成功后,会开启服务器的RDP服务(远程桌面服务),且会创建多个具有管理员权限的内置账户,方便远程登录。

       解决方案:

       1. 加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。

       2. 修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。

       3. 企业用户可及时对服务器打补丁,防止这类木马利用windows提权漏洞,从而防范此类攻击。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:FB与Twitter再现漏洞 用户数据或被不正当访问
下一篇:卡巴斯基在4种开源VNC软件中发现了数十个漏洞
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回