御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件

https://zhuanlan.kanxue.com/article-8292.htm

sqlserver的弱密码破解和提权攻击.

概述

本周腾讯安全应急响应中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现系统失陷感知信息,该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源。

腾讯御界报告系统攻陷警报

腾讯安全工程师在征得客户同意后对客户机器进行远程取证,结合御界的关键日志,我们发现这是一起针对SQL Server服务器的弱口令爆破攻击事件,由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。

根据这一线索,腾讯安全御见威胁情报中心展开事件溯源调查,结果发现,该黑客组织已成功入侵3700余台SQL服务器,并继续通过提权攻击获得服务器管理员权限,被入侵的服务器会下载运行门罗币挖矿木马,入侵者会开启服务器的3389端口,添加一个管理员帐户以方便随时登录。

攻击始末

根据腾讯御界日志回放,我们还原了此次黑客攻击的整个流程:

入侵者的攻击流程

根据腾讯御界日志记录,该黑客团伙在对目标SQL服务器进行数千次连接尝试,最终爆破弱密码成功。

御界日志显示黑客远程爆破SQL Server服务器达数千次之多

由于受害SQL Server服务器使用了较弱的密码,在11点37分,黑客爆破成功

御界日志显示黑客爆破SQL Server成功

随后,黑客利用口令登录SQL Server,释放病毒文件VBS.vbs,并开始下载木马,首先下载执行SQLAGENTSA.exe

下载执行SQLAGENTSA.exe

黑客HFS服务器上的木马

SQLAGENTSA.exe执行D.hta,而D.hta会下载执行369.exe

下载执行369.exe

369.exe内嵌4个文件

369.exe释放的文件

C:\Windows\Microsoft.NET\Framework\ aspnet_wp.exe

C:\Windows\Microsoft.NET\Framework\ ETComm.dll

C:\Windows\Microsoft.NET\Framework\ mscorsvws.exe

C:\Windows\ MpMgSvc.dll

其中mscorsvws.exe属于windows提供的小工具srvany.exe,用于将aspnet_wp.exe注册为服务,aspnet_wp.exe功能是加载ETComm.dll,ETComm.dll属于“大灰狼”远控系列。“大灰狼”远程控制木马是黑产圈较为流行的远控工具,据称该木马的原始作者已去世,相关代码已流落黑产圈开源共享,不同的病毒木马团伙对其定制改造后发布了诸多变种版本。在木马连接已被攻陷的服务器时,腾讯御界再次告警。

木马连接服务器的行为被腾讯御界再次告警

SQLAGENTSA.exe会同时下载挖矿木马,如果服务器是Windows系统,则下载sqlagentc.exe,如果是linux则下载64。

木马会开启本机的3389端口,并为系统添加一个账户,方便黑客远程登陆服务器

黑客在受害者机器上添加管理员账号

关联分析

工程师对在木马中留下的相关信息进一步分析,发现黑客HFS服务器上存在着很多工具,如Windows提权工具,linux挖矿程序。另外在其中一个HFS服务器上发现黑客爆破SQL服务器的攻击日志。

黑客扫描的phpmyadmin后台管理密码

黑客扫描的SQL Server管理密码

从扫描日志看,至少已经有3700余台SQL Server服务器被攻陷,涉及数百家中小型企业,这些数据库管理权限已完全失守,或可能导致严重信息泄露事件发生。

部分受害公司IP

安全建议

本次事件由于发现及时,部署腾讯御界高级威胁检测系统的客户并未遭遇损失,但溯源发现其他被黑客攻陷的SQL服务器已达3700余台,这些服务器已被黑客完全控制,数据库密码亦被公开暴露在网络上,损失不可估量。腾讯安全专家建议企业用户高度警惕,采取以下措施防止企业SQL服务器被该团伙入侵。

1、 加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。数据库服务器被黑客暴力破解会导致企业关键业务信息泄露。

企业服务器可使用腾讯御点协助安装安全补丁

2、 修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。

3、 检查服务器是否已开启远程桌面服务(3389端口),并检查是否有异常帐户添加和登录事件发生。

4、 推荐部署腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯安全在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

腾讯御界高级威胁检测系统

IOCs

由于不法分子可能通过IOCs获取多达数千台受害企业的敏感信息,本报告暂不公开详细的IOC信息。

[转帖]御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件的更多相关文章

  1. 客户有两台windows服务器要做sql server双机切换

    基本架构 2 windows 2008 server:安装成域控制器,实现故障转移(虚拟ip访问,共享磁盘阵列卷链接主服务器),安装sqlserver2012 1磁盘阵列共享卷:数据库文件放于其中,两 ...

  2. 一台MySQL服务器启动多个端口

    一台MySQL服务器启动多个端口 在测试Mysql多主一从服务器,即一个从服务器多端口同步不同主库.本文记录了开启不同端口的操作. 详细步骤: 1.首先要先把my.cnf配置文件复制一份,开几个端口要 ...

  3. 处于同一个域中的两台Sql server 实例无法连接

    处于同一个域中的两台Sql server 实例无法连接,报的错误信息如下: A network-related or instance-specific error occurred while es ...

  4. 如何用极路由+OpenWrt+RTL电视棒搭建一台SDR服务器,并隐秘地捕获和传输数据

    0×00 前言 近期因为有个从异地捕获无线信号的需求,便尝试着用OpenWrt+公网IP搭建了一台SDR服务器.如果有小伙伴嫌SDR硬件天线看起来太乱.或者电脑没有足够的USB接口也可在局域网搭建SD ...

  5. 双节点(nginx+keepalived)为两台apache服务器提供负载均衡

    说明:本实验为双节点nginx为两台apache服务器提供负载均衡,本文不是做lvs,所以realserver不是配置在keepalived.conf而是在nginx的配置文件中upstream.此架 ...

  6. 单节点nginx为两台apache服务器提供负载均衡

    需求:本实验为单节点nginx为两台apache服务器提供负载均衡,所有配置为最简单 1.初始化3台测试server,该关的关了 [root@host101 ~]# vim /etc/hosts 19 ...

  7. 多台web服务器之间共享session

    常见的几种方法如下: 1. 写客户端Cookie的方式 当用户登陆成功以后,把网站域名.用户名.密码.token.session有效时间全部采用cookie的形式写入到客户端的cookie里面,如果用 ...

  8. 安装VMware vSphere 的目的就是在一台物理服务器上安装很多很多的虚拟机

    版权声明:本文为博主原创文章,未经博主允许不得转载. 我们安装VMware vSphere 的目的就是在一台物理服务器上安装很多很多的虚拟机,我们可以通过VMware vSphere Client直接 ...

  9. 如何配置多台mysql 服务器?

    当我们数据量增大时,数据库需要进行扩张时,或者做高可用,那么我们就需要用到同时多台mysql服务器.通过配置:可以实现,一台主mysql,负责记录数据的变化,多台从mysql,查询结果.修改文件:/w ...

随机推荐

  1. 宁撞金钟一下,不打破鼓三千,IT人要有志气,要进就进大的好的公司

    最近我也在帮一些朋友面试,再结合自身的经验,发现了一个意料之外情理之中的事情:个别挣钱能力一般或规模比较小的公司,对候选人的要求普遍比一些大公司反而高,而且工作时间普遍会比一些好公司要长. 比如一个税 ...

  2. GC参考手册 —— GC 算法(实现篇)

    学习了GC算法的相关概念之后, 我们将介绍在JVM中这些算法的具体实现.首先要记住的是, 大多数JVM都需要使用两种不同的GC算法 —— 一种用来清理年轻代, 另一种用来清理老年代. 我们可以选择JV ...

  3. .NET Core微服务之基于Steeltoe使用Spring Cloud Config统一管理配置

    Tip: 此篇已加入.NET Core微服务基础系列文章索引 =>  Steeltoe目录快速导航: 1. 基于Steeltoe使用Spring Cloud Eureka 2. 基于Steelt ...

  4. 【Android Studio安装部署系列】八、Android Studio主题皮肤更换

    版权声明:本文为HaiyuKing原创文章,转载请注明出处! 概述 Android Studio具有自己的主题皮肤,但是如果想要更换自己喜欢的主题皮肤,可以参考下面的步骤. 注意,更换主题皮肤,之前的 ...

  5. vscode local attach 和 remote debug

    VSCode是MS推出的一款免费的开源并跨平台的轻量级代码编辑器,内置Git和Debug等常用功能,强大的插件扩展功能以及简单的配置几乎可以打造成任意编程语言的IDE.本文简单聊一下其本地attach ...

  6. C# 10分钟完成百度人脸识别——入门篇

    嗨咯,小编在此祝大家新年快乐财多多! 今天我们来盘一盘人脸注册.人脸识别等相关操作,这是一个简单入门教程. 话不多说,我们进入主题: 完成人脸识别所需的步骤: 注册百度账号api,创建自己的应用: 创 ...

  7. asp.net mvc 简单项目框架的搭建(二)—— Spring.Net在Mvc中的简单应用

    摘要:上篇写了如何搭建一个简单项目框架的上部分,讲了关于Dal和Bll之间解耦的相关知识,这篇来把后i面的部分说一说. 上篇讲到DbSession,现在接着往下讲. 首先,还是把一些类似的操作完善一下 ...

  8. [转载]css菜鸟之HTML 中块级元素设置 height:100% 的实现

    HTML 中块级元素设置 height:100% 的实现 当你设置一个页面元素的高度(height)为100%时,期望这样元素能撑满整个浏览器窗口的高度,但大多数情况下,这样的做法没有任何效果. 为什 ...

  9. 微信小程序 选择微信自带的地址 用户授权选择了拒绝

    // 选择微信自带地址 addAddr:function () { wx.chooseAddress({ success: function (res) { self.setData({ addrIn ...

  10. 小米5.0以上系统如何没ROOT激活xposed框架的经验

    在较多企业的引流或者业务操作中,大多数需要使用安卓的黑高科技术xposed框架,这段时间,我们企业购买了一批新的小米5.0以上系统,大多数都是基于7.0以上版本,大多数不能够获取Root的su超级权限 ...