赵姓名字大全4月4日中午前后,小刘像往常一样,照例检查公司网络系统和相关配置工作,当观看总控系统时,发现专门用来检测未知黑客的腾讯御界高级检测系统发出警报,显示当前公司的网络系统可能正在遭受黑客,危急之下,小刘第一时间求助腾讯安全应急响应中心。
腾讯安全技术专家在征得企业同意后对机器设备进行远程取证,同时结合御界关键日志信息发现,这是一起典型的针对企业本地数据库(SQL Server)服务器的弱口令爆破事件。由于SQL Server服务器使用了较弱的密码口令,团伙在对目标进行数千次连接尝试之后,最终在4日11点37分成功爆破,成功进入该企业服务器。所幸发现及时,腾讯安全技术专家也在第一时间协助该企业进行隔离、杀毒,这次并未直接给公司造成任何损失。
此前,腾讯安全曾多次预警过此类利用弱口令对企业SQL服务器进行爆破事件。关于弱口令没有严格定义,凡是容易被别人猜测或者被破解工具破解的密码都是弱口令,例如“123”、“abc”等。而所谓“爆破”,就是黑客拿着一本包含了很多弱口令的“字典”进行逐次尝试,如果目标服务器的密码碰巧在这本“字典”里,那么这次“爆破”就能成功,黑客也就能顺理成章地进入服务器。
针对此次,腾讯安全技术专家发现了团伙在HFS服务器上的大量“作案工具”,包括Windows提权工具、linux挖矿程序等一系列黑产工具,同时在另一个HFS服务器上存有爆破SQL服务器的日志,桩桩件件,分明。可见这是一次有组织、有,经过精心计划的行动。
其实,这次事件只是这个黑客团伙进行连环的冰山一角。腾讯安全御见情报中心对整个事件展开溯源调查后发现,该团伙目前已成功入侵3700余台SQL服务器,涉及到数百个中小型企业,获得了这些企业服务器的管理员权限,在后载运行门罗币挖矿木马。同时入侵者还会服务器的3389端口,添加一个管理员帐户,相当于给自己留了一把可以随时进出企业服务器的“钥匙”。可以说,这样的行为极易导致更为严重的信息泄露事件发生,往往给企业带来难以估量的损失。
腾讯安全通过对被爆破的弱密码进行分析发现,以下弱密码已经被黑客掌握,还在使用这些密码的企业需要提高,尽快进行修改,否则一旦被黑客盯上对服务器进行破解,很可能导致关键业务信息泄露。
当前,越来越多的全球性企业被卷入数据泄露行列,而一旦公司数据泄露,不仅损害了用户个人隐私,企业还要为此买单,面临一系列失信、口碑下跌的危机。对于企业而言,如何防御企业信息泄露,避免遭受黑客就显得至关重要。
为此,腾讯安全反病毒实验室负责人马劲松提醒广大企业用户,加固SQL Server服务器,修补服务器安全漏洞和使用安全密码策略;修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,1433端口探测;同时检查服务器是否已远程桌面服务,并高频次检查是否有异常帐户添加和登录事件发生,可有效防止黑客破解。
就目前黑客手法来看,提升技术手段和使用可靠的网络安全产品,是阻断入侵的有效方式,本文开头的企业就是在腾讯御界高级检测系统的及时预警下,配合腾讯安全技术人员的积极响应和及时阻断,成功了一起爆破。对此,腾讯安全技术专家企业全网安装腾讯御点终端安全管理系统、腾讯御界高级检测系统、腾讯御见安全态势平台以及腾讯御知网络空间风险雷达等产品,在终端安全、边界安全、网站监测、统一监测方面建立一套集风险监测、分析、预警、响应和可视化为一体的安全体系,可以全方位、立体化保障企业用户的信息安全。