預警：3700餘台SQL伺服器被爆破

4 月 12 日，雷鋒網從騰訊安全獲悉，其發現了一起典型的針對企業本地資料庫（SQL Server）伺服器的弱口令爆破攻擊事件。由於受害 SQL Server 伺服器使用了較弱的密碼口令，作惡團伙在對目標進行數千次連接嘗試之後，最終在 4 日 11 點 37 分成功爆破，成功進入該企業伺服器。所幸發現及時，這次攻擊並未直接給該公司造成任何損失。

騰訊安全御見威脅情報中心對整個事件展開溯源調查後發現，該作惡團伙目前已成功入侵 3700 余台 SQL伺服器，涉及到數百個中小型企業，獲得了這些企業伺服器的管理員許可權，在後台下載運行門羅幣挖礦木馬。同時入侵者還會開啟伺服器的 3389 埠，添加一個管理員帳戶，相當於給自己留了一把可以隨時進出企業伺服器的「鑰匙」。

騰訊安全方面稱，這是利用弱口令對企業 SQL 伺服器進行爆破攻擊的典型案例。關於弱口令沒有嚴格定義，凡是容易被別人猜測或者被破解工具破解的密碼都是弱口令，例如「123」、「abc」等。而所謂「爆破」，就是黑客拿著一本包含了很多弱口令的「字典」進行逐次嘗試，如果目標伺服器的密碼碰巧在這本「字典」里，那麼這次「爆破」就能成功，黑客也就能順理成章地進入伺服器為所欲為。

針對此次攻擊，安全專家還發現了作惡團伙在HFS伺服器上的大量「作案工具」，包括 Windows 提 權工具、linux 挖礦程序等一系列黑產工具，同時在另一個 HFS 伺服器上存有爆破 SQL 伺服器的攻擊日誌。

［部分受害公司IP］

安全人員通過對被爆破的弱密碼進行分析發現，以下弱密碼已經被黑客掌握，還在使用這些密碼的企業需要提高警惕，建議儘快進行修改，否則一旦被黑客盯上對伺服器進行暴力破解，很可能導致關鍵業務信息泄露。

騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業用戶，建議加固 SQL Server 伺服器，修補伺服器安全漏洞和使用安全密碼策略；修改 SQL Sever 服務默認埠，在原始配置基礎上更改默認 1433 埠設置，並且設置訪問規則，拒絕 1433 埠探測；同時檢查伺服器是否已開啟遠程桌面服務，並高頻次檢查是否有異常帳戶添加和登錄事件發生，可有效防止不法黑客破解。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！