数百家企业SQL服务器遭非法攻击或致企业数据泄露

2024-10-29

小刘像往常一样，照例检查公司网络系统和相关配置工作，当观看总控系统时，发现专门用来检测未知黑客攻击的腾讯御界威胁检测系统发出警报，显示当前公司的网络系统可能正在遭受不法黑客攻击，危急之下，小刘先求助腾讯安全应急响应中心。

腾讯安全技术专家在征得企业同意后对机器设备进行远程取证，同时结合御界关键日志信息发现，这是一起典型的针对企业本地数据库(SQL Server)服务器的弱口令爆破攻击事件。由于受害SQL Server服务器使用了较弱的密码口令，作恶团伙在对目标进行数千次连接尝试之后，最终成功爆破，成功进入该企业服务器。所幸发现及时，腾讯安全技术专家也协助该企业进行隔离、杀毒，这次攻击并未直接给公司造成任何损失。

(图：不法黑客远程爆破SQL Server服务器高达数千次之多)

此前，腾讯安全曾多次预警过此类利用弱口令对企业SQL服务器进行爆破攻击事件。关于弱口令没有严格定义，凡是容易被别人猜测或者被破解工具破解的密码都是弱口令，例如“123”、“abc”等。而所谓“爆破”，就是黑客拿着一本包含了很多弱口令的“字典”进行逐次尝试，如果目标服务器的密码碰巧在这本“字典”里，那么这次“爆破”就能成功，黑客也就能顺理成章地进入服务器为所欲为。

其实，这次事件只是这个黑客团伙进行连环攻击的冰山一角。腾讯安全御见威胁情报中心对整个事件展开溯源调查后发现，该作恶团伙目前已成功入侵3700余台SQL服务器，涉及到数百个中小型企业，获得了这些企业服务器的管理员权限，在后台下载运行门罗币挖矿木马。同时入侵者还会开启服务器的3389端口，添加一个管理员帐户，相当于给自己留了一把可以随时进出企业服务器的“钥匙”。可以说，这样的行为极易导致更为严重的信息泄露事件发生，往往给企业带来难以估量的损失。

当前，越来越多的全球性企业被卷入数据泄露行列，而一旦公司数据泄露，不仅损害了用户个人隐私，企业还要为此买单，面临一系列失信、口碑下跌的危机。对于企业而言，如何防御企业信息泄露，避免遭受不法黑客攻击就显得至关重要。

为此，安企神软件加密软件提醒广大企业用户，建议加固SQL Server服务器，修补服务器安全漏洞和使用安全密码策略;也可使用第三方软件来进来安全维护（例如加密软件），从而降低数据资料外泄的可能。