某连锁医疗机构数据服务器遭黑客入侵,服务器秒变矿机

极速动力2年前帮助421

0x1概述

日前,腾讯御见恐吓情报中心感知到某诊所被入侵,但是被植入挖矿木马。通过剖析发觉该诊所由于SQL服务器存在弱口令,被黑客爆破1433端口方法成功入侵。入侵后,黑客借助写入下载命令触发下载恶意脚本,恶意脚本执行后会继续下载挖矿组件在被入侵的数据库服务器上进行门罗币挖矿操作

对于被害医疗机构来说,仅仅挖矿算得上是害处最轻微的,被害企业只是服务硬件资源被挖矿病毒消耗了。

入侵者已通过1433端口爆破完全控制这台SQL服务器,数据库中的数据可能已被泄露或存在泄漏的风险,也就是常说的被“拖库”,然后这种信息可能在黑市上交易。黑客还可以借助这台服务器去入侵局域网内其他笔记本,借助被控制的雏鸡笔记本发起ddos功击,或则干脆运行恐吓病毒,破坏服务器的数据,再恐吓钱财。

腾讯御见恐吓情报中心剖析发觉,这名入侵者已用同样的手法,入侵了多家单位超过300台服务器,全部被拿来挖矿。0x2入侵剖析通过剖析发觉,该诊所被入侵的缘由是,黑客借助1433端口批量爆破工具入侵诊所服务器,爆破成功后借助写入下载命令触发下载恶意脚本,恶意脚本执行后会继续下载挖矿组件进行挖矿。

上海某连锁医疗机构)

1433端口SQL默认端口,用于供SQL对外提供服务。黑客们借助sa弱口令,通过密码字典进行猜解爆破登陆。因为一些管理员的安全意识薄弱,设置密码简单容易猜解,致使黑客常常能轻松步入服务器。

黑客1433端口爆破成功后,执行以下下载命令,以进行下一步的操作。

.exe/u/n/s/i:.dll

0x3样本剖析

下载的Kma.sct通过判定系统版本来分别进行下载木马以及储存路径

下载后进行解压运行fix.exe。

fix.exe是正常程序,而且带有正规签名。并且fix.exe通过白+黑调用.dll。

该dll会去揭秘x.txt,揭秘的x.txt为矿机,但是在显存中加载执行:

(读取x.txt文件揭秘)

揭秘的矿机内容:

挖矿的配置文件

0x4关联剖析对该入侵的C&C进行扩充,我们还发觉多家企业300余台服务器被黑客使用同样的方法入侵:

(某集团内部服务器)

(急速动力

这次被入侵地分辨布,四川北京、河北抢占前三:

0x5总结其实该诊所目前只是被入侵后进行了挖矿,暂未对该诊所引起太大的损失,而且绝不能忽略该次入侵。

不能排除黑客以这台已入侵的服务器为起点,继续在局域网内渗透,通过这台已被控制的服务器去功击入侵其他笔记本。

因而在局域网内传播更多恐吓病毒、挖矿病毒,进一步泄露绝密资料等后续行为,入侵者早已具有彻底破坏该诊所业务体系的能力。同时该诊所的服务器也可能会作为蛋鸭,继续成为黑客入侵其他机器的跳板,或则拿来对其他目标进行DDoS功击。

绝不能由于仅仅中了挖矿病毒,而放松对网路安全的管理。

0x6安全建议

腾讯御见安全专家针对这次黑客入侵,提供如下安全建议:

1.加固SQL服务器,修复服务器安全漏洞。使用安全的密码策略,使用高硬度密码,请勿使用弱口令,非常是sa帐号密码,避免黑客暴力破解

2.更改SQLSever服务默认端口,在原始配置基础上修改默认1433端口设置,但是设置访问规则,拒绝1433端口侦测。

3.使用腾讯御知网路空间风险雷达(网址:)进行风险扫描站点监控

4.网站管理员可使用腾讯云网站管家智能防护平台(网址:),该系统具备Web入侵防护,0Day漏洞补丁修补等多经度防御策略,可全面保护网站系统安全。0x7:://a..tk/32f.zIP://a..tk/kma.sct://a..tk/64f.:

相关文章

长沙服务器主要分三类,第一类是云主机!

长沙服务器主要分三类,第一类是云主机,这个大家都可以理解,整个云主机就是一个物理服务器对外提供服务,只不过多买点,便宜还能有专属权限,小编给大家讲一下第二类就是裸机,裸机就是用服务器给你提供的硬件组件...

如何搭建个人的家庭服务器

之前分享过好多关于“家庭服务器”的内容,不过有同学反馈说这些内容太零散,看完后好多疑惑。于是我梳理了家庭服务器搭建的整个流程,把经验分享给你们: 第一步:选择硬件 个人服务器的门槛比你想像的低:一台两...

石家庄最佳服务器配置,内存2核

石家庄服务器哪里配置最好?石家庄服务器的配置你用哪种方式就用哪种方式,不需要强制要求。只要能够正常的上网都可以的,还有问题的话欢迎随时咨询。石家庄云梦科技服务器推荐配置:500m内存,2核cpu主要是...

服务器的硬件配置要求(服务器笔记本配置要求)

服务器是一台专门用于服务器应用的计算机,一般被用于网站托管、云估算、数据储存和资源分配等服务。服务器与普通计算机最大的不同是它具有更高的性能和更长的运行时间。为此,服务器的硬件配置和服务器笔记本配置的...

服务器和工作站的区别

服务器作为互联网时代企业发展必不可少的硬件设备被用户所熟知,但是了解工作站用途的用户却不多,二者作为高性能估算领域代表性产品,在性能及其适用领域方面工作站和服务器有哪些区别? 一、服务器 服务器是指在...

哈尔滨服务器租用,价格因规模与频率而异

哈尔滨服务器租用的价格跟你的规模和使用频率有关,租用哪里都一样。类似dmz区域的沙城和凤城,租用价格就相差100+一年,一般都不会是单机服务器租用。简单的说,机架服务器很难说这个电脑多大规模和多少频率...