黑客爆破攻击Sql Server,已控制数百台企业服务器和网站

admin 2021年12月3日13:53:36cnnvd_news评论13 次浏览阅读模式

       SQL爆破、提权攻击已成攻击者惯用伎俩,但仍有部分企业网管使用弱口令导致服务器被黑客操控。近日,安全研究员发现一起针对SQL数据库的爆破攻击事件,攻击成功后会根据系统环境下发远控木马、植入Webshell、在目标服务器创建管理员用户。本次攻击的失陷服务器已达数百台之多,主要受害者位于陕西、山西、吉林等地。

       该木马的攻击行动具有如下特点:

       1. 木马针对普通windows服务器下发TeamView实施远程控制,监测数据显示该木马已控制数百台服务器;

       2. 针对web服务器,木马植入webshell,已知有40多家网站共植入300余个Webshell;

       3. 木马会获取中毒主机的一般信息,包括:IP地址、操作系统版本、用户名、CPU、内存、磁盘、安全软件等基本信息,并将这些信息发送到远程服务器;

       4. 入侵成功后,会开启服务器的RDP服务(远程桌面服务),且会创建多个具有管理员权限的内置账户,方便远程登录。

       解决方案:

       1. 加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。

       2. 修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。

       3. 企业用户可及时对服务器打补丁,防止这类木马利用windows提权漏洞,从而防范此类攻击。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日13:53:36
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2021/12/03/779.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: