对Microsoft SQL的蛮力攻击

在最近的事件中，我们一直在观察到黑客已开始使用其开放的TCP端口来针对Microsoft SQL（MSSQL）服务器。尽管管理员同意数据库的重要性，但该数据库配置的密码很弱。原因可能是操作员易于使用，缺乏安全意识或只是低估了风险因素。

默认情况下，Microsoft SQL在TCP端口1433/1434上运行，并且以“ SA”作为管理员用户。

Microsoft SQL蛮力攻击流程:

1. 攻击者使用端口扫描技术来识别目标系统上的开放端口
2. 一旦攻击者发现端口1433/1434处于打开状态，它将开始强行强制SA登录，这是默认的管理员帐户。
3. 攻击者通常拥有带有数据库管理员使用的最常用密码的字典，因此在大多数情况下使攻击更快，更成功
4. 一旦攻击者可以访问“ SA”用户，他就可以完全访问数据库。如果Microsoft SQL Server具有漏洞，攻击者可能进一步利用该系统，从而使攻击者获得对操作系统的完全访问权限

感染指标:

1. Microsoft SQL“ SA”用户密码在不知不觉中更改
2. 多次尝试访问“ SA”用户失败

这种攻击可能造成多少损失:

1. 黑客可以获得数据库的管理访问权限，这是任何组织必不可少的组成部分，这进一步可能导致数据丢失和/或数据被盗

如何保护系统免受这种攻击:

1. 为数据库用户（例如“ SA”用户）设置复杂的密码
2. 禁用默认用户“ SA”并创建具有相同特权的其他用户
3. 将默认的TCP端口（即1433）更改为随机端口，以使攻击者无法轻易猜测到它
4. 如果不使用，请禁用Microsoft SQL（MSSQL）服务。

确保采取上述措施是避免此类攻击的主要预防措施。我们还建议您自定义“快速修复防火墙”，以便用户设置 防火墙规则 以满足个人需求。如果配置正确，Quick Heal Firewall可以通过限制网络流量以保护网络基础结构来抵御这些入侵攻击。我们在之前的版本中讨论了类似的“防火墙配置” 博客 关于RDP暴力攻击。

另外，使用“快速修复漏洞扫描程序”来识别漏洞，并进一步修补/修复漏洞，以免被此类不当行为利用。

致谢

主题专家
•Shantanu维查
–威胁研究与响应小组