21

默认账户居然是黑客入侵高频通道 火绒防护措施在这里

 3 years ago
source link: https://zhuanlan.zhihu.com/p/265970552
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

家用摄像头被入侵,导致私人视频资料外泄;个人路由器被攻击,致使钱财被骗取……近年来,类似这样的报道层出不穷,而导致这些恶劣事件频频发生的主要原因之一,正是常见的默认账户。

默认账户,普遍存在于各类软硬件、系统上,名称多为固定格式,生成具有一定规律,易被黑客利用;一些默认账户权限高,甚至部分软、硬件的账户还默认配置了简单的账户密码,更为关键的是,这些默认账户极易被忽视管理……以上种种,导致默认账户成为被黑客暴破攻击的主要对象。

事实上,除了上述摄像头、路由器等电子产品,用户常用的电脑系统和各类软件同样是因默认账户面临安全风险的“重灾区”。

火绒工程师解释,系统安装时,会直接生成默认账户,如Windows安装后的默认管理员Administrator、Linux的默认账户root等。即使运维人员在系统安装完毕后,禁用默认账户并创建新账户,使用的名字也多数是"Administrator"、"User"等常见用户名,并未达到提高安全性的目的。

不仅如此,部分软件安装后也会默认创建Windows管理员账户,如VA_admin、Ras_admin等。甚至像是远程工具Radmin,网站业务使用的SQL Server数据库、WebLogic中间件等软件自身生成的默认账户,也存在此类安全隐患。

Rvmq6jA.jpg!mobile Windows系统的默认管理员账户 jiuqQzf.png!mobile 软件默认创建的Windows管理员账户

一旦黑客成功暴破默认账户,特别是有管理员权限的系统账户,在没有针对性防御方式的情况下,便可执行任意操作,包括投放黑客工具、搜集敏感信息、投放勒索病毒加密文件等等。

根据火绒处理过的有关企业遭遇远程暴破并被投放勒索病毒的案例显示,其中因默认账户被入侵的安全事故就占据了8成。在此,我们选出了几个有关企业使用系统、软件默认账户,导致黑客、病毒入侵的案例进行分享,并给予相关安全建议,希望帮助大家规避风险。

一、企业遭病毒勒索,软件自带默认账户是诱因

火绒收到企业求助,称其内部文件被加密,导致无法打开,并被索要赎金解密。火绒工程师溯源后发现,黑客利用服务器内的管理员账户进行远程桌面登录,上传黑客工具并手动投放名为“Globelmposter”的勒索病毒,从而加密企业重要文件。最终,火绒工程师通过下载火绒企业版,成功查杀并清除了该勒索病毒与被发现的黑客渗透工具,但由于该勒索病毒使用非对称加密算法,因此目前在没有私钥的情况下暂时无法解密。

z2EBV3b.png!mobile 火绒查杀并清除了勒索病毒和黑客工具

实际上,由于该企业一直使用某软件默认创建的Windows管理员账号“VA_admin”,且密码强度弱,并未设置访问限制,因此黑客在短时间内获得该账户密码并登录后,发起了后续恶意行为。

值得一提的是,火绒企业版除可清除黑客工具并阻止病毒运行外,为防止黑客入侵,有效保护账户安全,用户还可开启【远程登录防护】功能,限制访问IP,阻止黑客远程登录行为,或使用【终端动态认证】功能,开启二次验证,防止黑客进一步入侵终端。

EBJ7Rj.jpg!mobileJZb6j2r.png!mobile

二、“隐匿者”入侵企业服务器,恶意行为牟取利益

某企业服务器内频繁报毒,遂求助火绒。火绒工程师远程查看该服务器后,发现数据库内出现大量SQL Server的默认账户"sa"登陆失败的日志及非用户创建的异常作业,并在用户终端反复收到火绒报毒提示。根据用户现场发现的病毒特征推断,该服务器是被名为"隐匿者(MyKings)"的僵尸网络入侵,从而导致异常的。

EJfMnm3.jpg!mobile 用户终端反复收到火绒报毒提示 UfaQbuj.jpg!mobile

火绒工程师表示,"隐匿者(MyKings)"僵尸网络会通过SQL Server暴破等方式进行传播,并在控制服务器后,执行DDoS、挖矿、远控等多种恶意行为,影响十分恶劣。

最终,火绒工程师为防止病毒再次入侵,向用户提供了安全建议,远程操作删除了SQL Server数据库内被添加的恶意作业和其他相关组件,并通过使用火绒专杀工具及火绒终端查杀彻底解决了用户服务器内的病毒问题。

MzEVRb3.png!mobile

安全建议:

1.增强安全意识,谨慎考虑使用厂商\开发商自带的默认账户,如必须使用,建议修改用户名及密码。

2.修改如“admin”“User”等常见用户名,使用特征相对明显的用户名并建议禁用或限制默认管理员账户,避免病毒对常见用户名进行暴破;

3.避免使用默认密码,建议设置长度在 10 位以上,由大小写字母、数字、特殊符号组合的符合复杂性要求的高强度密码,并定期更换,避免出现多个密码复用、无密码、弱口令状况出现;(建议企业终端使用不同的高强度密码进行管理,员工终端不少于8位,外网服务器不少于15位,且带有数字、大小写字母及符号)

4.企业终端全面部署火绒或其他安全软件,并通过检查火绒、系统和其他安全服务日志,排查企业内可能存在的安全问题,发现终端异常及时使用火绒进行全网查杀,或向火绒求助,获取专业的、有针对性的安全加固。

"火绒企业版"自2018年初面市以来,已有上万家政府、企业单位部署试用。该产品易于安装,操作简单,运行稳定,未发生过一起严重产品故障,充分满足各单位网络安全需求。任何政企单位都可以通过火绒官网申请,免费试用"火绒企业版"3个月。

申请免费试用链接:

https://www. huorong.cn/essmgr/essre g

详细了解火绒企业版相关功能:

终端动态认证:

https://www. huorong.cn/info/1582608 651429.html

远程登录防护:

https://www. huorong.cn/info/1574318 660394.html


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK