御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件

https://zhuanlan.kanxue.com/article-8292.htm

sqlserver的弱密码破解和提权攻击.

概述

本周腾讯安全应急响应中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现系统失陷感知信息,该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源。

腾讯御界报告系统攻陷警报

腾讯安全工程师在征得客户同意后对客户机器进行远程取证,结合御界的关键日志,我们发现这是一起针对SQL Server服务器的弱口令爆破攻击事件,由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。

根据这一线索,腾讯安全御见威胁情报中心展开事件溯源调查,结果发现,该黑客组织已成功入侵3700余台SQL服务器,并继续通过提权攻击获得服务器管理员权限,被入侵的服务器会下载运行门罗币挖矿木马,入侵者会开启服务器的3389端口,添加一个管理员帐户以方便随时登录。

攻击始末

根据腾讯御界日志回放,我们还原了此次黑客攻击的整个流程:

入侵者的攻击流程

根据腾讯御界日志记录,该黑客团伙在对目标SQL服务器进行数千次连接尝试,最终爆破弱密码成功。

御界日志显示黑客远程爆破SQL Server服务器达数千次之多

由于受害SQL Server服务器使用了较弱的密码,在11点37分,黑客爆破成功

御界日志显示黑客爆破SQL Server成功

随后,黑客利用口令登录SQL Server,释放病毒文件VBS.vbs,并开始下载木马,首先下载执行SQLAGENTSA.exe

下载执行SQLAGENTSA.exe

黑客HFS服务器上的木马

SQLAGENTSA.exe执行D.hta,而D.hta会下载执行369.exe

下载执行369.exe

369.exe内嵌4个文件

369.exe释放的文件

C:\Windows\Microsoft.NET\Framework\ aspnet_wp.exe

C:\Windows\Microsoft.NET\Framework\ ETComm.dll

C:\Windows\Microsoft.NET\Framework\ mscorsvws.exe

C:\Windows\ MpMgSvc.dll

其中mscorsvws.exe属于windows提供的小工具srvany.exe,用于将aspnet_wp.exe注册为服务,aspnet_wp.exe功能是加载ETComm.dll,ETComm.dll属于“大灰狼”远控系列。“大灰狼”远程控制木马是黑产圈较为流行的远控工具,据称该木马的原始作者已去世,相关代码已流落黑产圈开源共享,不同的病毒木马团伙对其定制改造后发布了诸多变种版本。在木马连接已被攻陷的服务器时,腾讯御界再次告警。

木马连接服务器的行为被腾讯御界再次告警

SQLAGENTSA.exe会同时下载挖矿木马,如果服务器是Windows系统,则下载sqlagentc.exe,如果是linux则下载64。

木马会开启本机的3389端口,并为系统添加一个账户,方便黑客远程登陆服务器

黑客在受害者机器上添加管理员账号

关联分析

工程师对在木马中留下的相关信息进一步分析,发现黑客HFS服务器上存在着很多工具,如Windows提权工具,linux挖矿程序。另外在其中一个HFS服务器上发现黑客爆破SQL服务器的攻击日志。

黑客扫描的phpmyadmin后台管理密码

黑客扫描的SQL Server管理密码

从扫描日志看,至少已经有3700余台SQL Server服务器被攻陷,涉及数百家中小型企业,这些数据库管理权限已完全失守,或可能导致严重信息泄露事件发生。

部分受害公司IP

安全建议

本次事件由于发现及时,部署腾讯御界高级威胁检测系统的客户并未遭遇损失,但溯源发现其他被黑客攻陷的SQL服务器已达3700余台,这些服务器已被黑客完全控制,数据库密码亦被公开暴露在网络上,损失不可估量。腾讯安全专家建议企业用户高度警惕,采取以下措施防止企业SQL服务器被该团伙入侵。

1、 加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。数据库服务器被黑客暴力破解会导致企业关键业务信息泄露。

企业服务器可使用腾讯御点协助安装安全补丁

2、 修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。

3、 检查服务器是否已开启远程桌面服务(3389端口),并检查是否有异常帐户添加和登录事件发生。

4、 推荐部署腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯安全在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

腾讯御界高级威胁检测系统

IOCs

由于不法分子可能通过IOCs获取多达数千台受害企业的敏感信息,本报告暂不公开详细的IOC信息。

[转帖]御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件的更多相关文章

  1. 客户有两台windows服务器要做sql server双机切换

    基本架构 2 windows 2008 server:安装成域控制器,实现故障转移(虚拟ip访问,共享磁盘阵列卷链接主服务器),安装sqlserver2012 1磁盘阵列共享卷:数据库文件放于其中,两 ...

  2. 一台MySQL服务器启动多个端口

    一台MySQL服务器启动多个端口 在测试Mysql多主一从服务器,即一个从服务器多端口同步不同主库.本文记录了开启不同端口的操作. 详细步骤: 1.首先要先把my.cnf配置文件复制一份,开几个端口要 ...

  3. 处于同一个域中的两台Sql server 实例无法连接

    处于同一个域中的两台Sql server 实例无法连接,报的错误信息如下: A network-related or instance-specific error occurred while es ...

  4. 如何用极路由+OpenWrt+RTL电视棒搭建一台SDR服务器,并隐秘地捕获和传输数据

    0×00 前言 近期因为有个从异地捕获无线信号的需求,便尝试着用OpenWrt+公网IP搭建了一台SDR服务器.如果有小伙伴嫌SDR硬件天线看起来太乱.或者电脑没有足够的USB接口也可在局域网搭建SD ...

  5. 双节点(nginx+keepalived)为两台apache服务器提供负载均衡

    说明:本实验为双节点nginx为两台apache服务器提供负载均衡,本文不是做lvs,所以realserver不是配置在keepalived.conf而是在nginx的配置文件中upstream.此架 ...

  6. 单节点nginx为两台apache服务器提供负载均衡

    需求:本实验为单节点nginx为两台apache服务器提供负载均衡,所有配置为最简单 1.初始化3台测试server,该关的关了 [root@host101 ~]# vim /etc/hosts 19 ...

  7. 多台web服务器之间共享session

    常见的几种方法如下: 1. 写客户端Cookie的方式 当用户登陆成功以后,把网站域名.用户名.密码.token.session有效时间全部采用cookie的形式写入到客户端的cookie里面,如果用 ...

  8. 安装VMware vSphere 的目的就是在一台物理服务器上安装很多很多的虚拟机

    版权声明:本文为博主原创文章,未经博主允许不得转载. 我们安装VMware vSphere 的目的就是在一台物理服务器上安装很多很多的虚拟机,我们可以通过VMware vSphere Client直接 ...

  9. 如何配置多台mysql 服务器?

    当我们数据量增大时,数据库需要进行扩张时,或者做高可用,那么我们就需要用到同时多台mysql服务器.通过配置:可以实现,一台主mysql,负责记录数据的变化,多台从mysql,查询结果.修改文件:/w ...

随机推荐

  1. mybatis自动填充时间字段

    对于实体中的created_on和updated_on来说,它没有必要被开发人员去干预,因为它已经足够说明使用场景了,即在插入数据和更新数据时,记录当前时间,这对于mybatis来说,通过拦截器是可以 ...

  2. 使用 ASP.NET Core MVC 创建 Web API(二)

    使用 ASP.NET Core MVC 创建 Web API 使用 ASP.NET Core MVC 创建 Web API(一) 六.添加数据库上下文 数据库上下文是使用Entity Framewor ...

  3. JavaScript一看就懂(2)闭包

    认识闭包之前需要先了解作用域,如果你对作用域还没有足够了解,请移步JavaScript一看就懂(1)作用域 什么是闭包? 我们可以先简单认为:一个函数a定义在另一个函数b里面,这个函数a就是闭包: f ...

  4. python 题库1

    1. 生成一个1到50的大字符串,每个数字之间有个空格,例如1 2 3 4 ……50 解题思路: (1)声明一个空字符串变量用于保存生成的字符串 (2)使用for循环+range()函数生成一个1到5 ...

  5. CAD.NET二次开发 新建图层 删除图层 指定图层颜色以及线形等

    基于浩辰CAD 2019测试 功能实现 直接上代码: [CommandMethod("CreateAndAssignAlayer")] //新建图层 然后添加到图层表里 publi ...

  6. org.springframework.beans.factory.BeanDefinitionStoreException: Failed to read candidate component

    原因:jdk1.8和你所用框架(spring+springMVC+mybatis)中spring框架的版本有问题, 解决方法:更换jdk1.7或者1.6

  7. 编程语言 Node.js中使用到的npm工具

    啥是npm? npm就是(node package manager)包结点管理器,它随同Node.js一起安装的,由于新版的nodejs已经集成了npm,所以之前npm也一并安装好了. 同样可以通过输 ...

  8. vue项目中获取cdn域名插件

    import axios from 'axios' let CdnPath = {} CdnPath.install = function (Vue, options) { Vue.prototype ...

  9. 使用Huginn抓取Discourse论坛

    Hi! I don't know why the xpath does not work, but have an easier solution. Discourse also has a JSON ...

  10. 【升鲜宝】生鲜配送管理系统_升鲜宝 V2.0 按客户商品分类分开打印配送与按客户商品分类导出相关订单商品相关说明(一)

    [升鲜宝]生鲜配送管理系统_升鲜宝 V2.0 按[客户]的商品分类分开打印(配送单)与按[客户]商品分类[对账单]导出相关销售订单商品功能相关说明(一) 业务场景概述与痛点 1.中小学校食堂的客户,每 ...