在最近的事件中,我们一直在观察到黑客已开始使用其开放的TCP端口来针对Microsoft SQL(MSSQL)服务器。尽管管理员同意数据库的重要性,但该数据库配置的密码很弱。原因可能是操作员易于使用,缺乏安全意识或只是低估了风险因素。
默认情况下,Microsoft SQL在TCP端口1433/1434上运行,并且以“ SA”作为管理员用户。
Microsoft SQL蛮力攻击流程:
- 攻击者使用端口扫描技术来识别目标系统上的开放端口
- 一旦攻击者发现端口1433/1434处于打开状态,它将开始强行强制SA登录,这是默认的管理员帐户。
- 攻击者通常拥有带有数据库管理员使用的最常用密码的字典,因此在大多数情况下使攻击更快,更成功
- 一旦攻击者可以访问“ SA”用户,他就可以完全访问数据库。如果Microsoft SQL Server具有漏洞,攻击者可能进一步利用该系统,从而使攻击者获得对操作系统的完全访问权限
感染指标:
- Microsoft SQL“ SA”用户密码在不知不觉中更改
- 多次尝试访问“ SA”用户失败
这种攻击可能造成多少损失:
- 黑客可以获得数据库的管理访问权限,这是任何组织必不可少的组成部分,这进一步可能导致数据丢失和/或数据被盗
如何保护系统免受这种攻击:
- 为数据库用户(例如“ SA”用户)设置复杂的密码
- 禁用默认用户“ SA”并创建具有相同特权的其他用户
- 将默认的TCP端口(即1433)更改为随机端口,以使攻击者无法轻易猜测到它
- 如果不使用,请禁用Microsoft SQL(MSSQL)服务。
确保采取上述措施是避免此类攻击的主要预防措施。我们还建议您自定义“快速修复防火墙”,以便用户设置 防火墙规则 以满足个人需求。如果配置正确,Quick Heal Firewall可以通过限制网络流量以保护网络基础结构来抵御这些入侵攻击。我们在之前的版本中讨论了类似的“防火墙配置” 博客 关于RDP暴力攻击。
另外,使用“快速修复漏洞扫描程序”来识别漏洞,并进一步修补/修复漏洞,以免被此类不当行为利用。
致谢
主题专家
•Shantanu维查
–威胁研究与响应小组
没意见