Loading… 默認賬户居然是黑客入侵的高頻通道 火絨防護措施在這裏_TOM新聞_4px遞四方速遞
正文
Qzone
微博
微信

默認賬户居然是黑客入侵的高頻通道 火絨防護措施在這裏

2020-10-16 16:45 TOM   

家用攝像頭被入侵,導致私人視頻資料外泄;個人路由器被攻擊,致使錢財被騙取……近年來,類似這樣的報道層出不窮,而導致這些惡劣事件頻頻發生的主要原因之一,正是常見的默認賬户。

默認賬户,普遍存在於各類軟硬件、系統上,名稱多為固定格式,生成具有一定規律,易被黑客利用;一些默認賬户權限高,甚至部分軟、硬件的賬户還默認配置了簡單的賬户密碼,更為關鍵的是,這些默認賬户極易被忽視管理……以上種種,導致默認賬户成為被黑客暴破攻擊的主要對象。

事實上,除了上述攝像頭、路由器等電子產品,用户常用的電腦系統和各類軟件同樣是因默認賬户面臨安全風險的“重災區”。

火絨工程師解釋,系統安裝時,會直接生成默認賬户,如Windows安裝後的默認管理員Administrator、Linux的默認賬户root等。即使運維人員在系統安裝完畢後,禁用默認賬户並創建新賬户,使用的名字也多數是"Administrator"、"User"等常見用户名,並未達到提高安全性的目的。

不僅如此,部分軟件安裝後也會默認創建Windows管理員賬户,如VA_admin、Ras_admin等。甚至像是遠程工具Radmin,網站業務使用的SQL Server數據庫、WebLogic中間件等軟件自身生成的默認賬户,也存在此類安全隱患。

一旦黑客成功暴破默認賬户,特別是有管理員權限的系統賬户,在沒有針對性防禦方式的情況下,便可執行任意操作,包括投放黑客工具、蒐集敏感信息、投放勒索病毒加密文件等等。

根據火絨處理過的有關企業遭遇遠程暴破並被投放勒索病毒的案例顯示,其中因默認賬户被入侵的安全事故就佔據了8成。在此,我們選出了幾個有關企業使用系統、軟件默認賬户,導致黑客、病毒入侵的案例進行分享,並給予相關安全建議,希望幫助大家規避風險。

一、企業遭病毒勒索,軟件自帶默認賬户是誘因

火絨收到企業求助,稱其內部文件被加密,導致無法打開,並被索要贖金解密。火絨工程師溯源後發現,黑客利用服務器內的管理員賬户進行遠程桌面登錄,上傳黑客工具並手動投放名為“Globelmposter”的勒索病毒,從而加密企業重要文件。最終,火絨工程師通過下載火絨企業版,成功查殺並清除了該勒索病毒與被發現的黑客滲透工具,但由於該勒索病毒使用非對稱加密算法,因此目前在沒有私鑰的情況下暫時無法解密。

默認賬户居然是黑客入侵的高頻通道 火絨防護措施在這裏

火絨查殺並清除了勒索病毒和黑客工具

實際上,由於該企業一直使用某軟件默認創建的Windows管理員賬號“VA_admin”,且密碼強度弱,並未設置訪問限制,因此黑客在短時間內獲得該賬户密碼並登錄後,發起了後續惡意行為。

值得一提的是,火絨企業版除可清除黑客工具並阻止病毒運行外,為防止黑客入侵,有效保護賬户安全,用户還可開啓【4px遞四方速遞】功能,開啓二次驗證,防止黑客進一步入侵終端。

默認賬户居然是黑客入侵的高頻通道 火絨防護措施在這裏

二、“隱匿者”入侵企業服務器,惡意行為牟取利益

某企業服務器內頻繁報毒,遂求助火絨。火絨工程師遠程查看該服務器後,發現數據庫內出現大量SQL Server的默認賬户"sa"登陸失敗的日誌及非用户創建的異常作業,並在用户終端反覆收到火絨報毒提示。根據用户現場發現的病毒特徵推斷,該服務器是被名為"隱匿者(MyKings)"的殭屍網絡入侵,從而導致異常的。

默認賬户居然是黑客入侵的高頻通道 火絨防護措施在這裏

用户終端反覆收到火絨報毒提示

默認賬户居然是黑客入侵的高頻通道 火絨防護措施在這裏

火絨工程師表示,"隱匿者(MyKings)"殭屍網絡會通過SQL Server暴破等方式進行傳播,並在控制服務器後,執行DDoS、挖礦、遠控等多種惡意行為,影響十分惡劣。

最終,火絨工程師為防止病毒再次入侵,向用户提供了安全建議,遠程操作刪除了SQLServer數據庫內被添加的惡意作業和其他相關組件,並通過使用火絨專殺工具及火絨終端查殺徹底解決了用户服務器內的病毒問題。

默認賬户居然是黑客入侵的高頻通道 火絨防護措施在這裏

安全建議:

1.增強安全意識,謹慎考慮使用廠商\開發商自帶的默認賬户,如必須使用,建議修改用户名及密碼。

2.修改如“admin”“User”等常見用户名,使用特徵相對明顯的用户名並建議禁用或限制默認管理員賬户,避免病毒對常見用户名進行暴破;

3.避免使用默認密碼,建議設置長度在 10 位以上,由大小寫字母、數字、特殊符號組合的符合複雜性要求的高強度密碼,並定期更換,避免出現多個密碼複用、無密碼、弱口令狀況出現;(建議企業終端使用不同的高強度密碼進行管理,員工終端不少於8位,外網服務器不少於15位,且帶有數字、大小寫字母及符號)

4.企業終端全面部署火絨或其他安全軟件,並通過檢查火絨、系統和其他安全服務日誌,排查企業內可能存在的安全問題,發現終端異常及時使用火絨進行全網查殺,或向火絨求助,獲取專業的、有針對性的安全加固。

"火絨企業版"自2018年初面市以來,已有上萬家政府、企業單位部署試用。該產品易於安裝,操作簡單,運行穩定,未發生過一起嚴重產品故障,充分滿足各單位網絡安全需求。任何政企單位都可以通過火絨官網申請,免費試用"火絨企業版"3個月。

 

責任編輯: WY-BD

責任編輯: WY-BD
廣告