在互联网高速发展的今天,使用密码登录的场景想必大家都不陌生,但也就是因为需要使用密码的地方太多,为了方便,很多人都习惯采用简易密码,例如:123456、20110305、admin等等。殊不知这种使用弱密码的习惯十分具有威胁性,因为弱密码在黑客面前形同虚设,他们至少有上百种方法来进行破解,多则2小时,少则5秒,就能成功破获你的弱密码,登录你的账号,进行各种恶意行为,如转账、泄密、挂马等,甚至通过你的账号获取更高的权限,给你带来更大损失。这不,网安信安全团队就在近日见证了一场黑客界的速度与激情。
事件回顾
某日上午10点左右,网安信团队突然接到某区块链企业报警,说不知道怎么回事,他们突然失去了对某台服务器的控制权,无法登录,无法修改密码,无法获取服务器的任何信息,很明显,这台服务器已经被黑客入侵且完全掌控。更不可思议的是,这台服务器是他们刚刚购置的,开机还不到两个小时,在此之前他们还可以自由访问和进行各项操作。这说明,黑客从获悉这台服务器,到攻破这台服务器登录密码,再到完全控制这台服务器仅用了两小时。
事件处理
网安信安全工程师接收到事件信息后,第一时间判断事件原因,如果不是内部人员捣鬼,就是黑客非常熟悉此类服务器的情况,包括服务器的供应商、服务器的型号、服务器常用密码等。由于该企业内部具有完善的规章制度和安全防护措施,内部人员捣鬼的原因基本可以排除,那么,只有可能是黑客非常熟悉此类服务器的情况才如此快速的成功入侵。
经过详细询问与沟通,网安信安全工程师很快发现了一个问题,就是该企业在购置回来服务器后,并没有第一时间修改服务器的原始ROOT密码,要知道服务器的原始ROOT密码通常都是供应商统一设置,非常简单易记,是典型的弱密码,在黑客对这类服务器的情况非常熟悉的情况下,如果不及时修改密码,黑客就能不费吹灰之力进入服务器。
经过分析,网安信安全工程师确认了该企业服务器被黑原因,就是因为该企业运维人员一时疏忽,没有及时修改服务器原始弱密码,恰好遇到黑客扫描获悉了服务器的地址,在该企业运维人员毫无察觉的情况下,通过暴力手段破解了这台服务器的Root弱密码,登录服务器后快速部署了自己的公钥,完全控制了这台服务器。
但并不知道,黑客控制这台服务器的目的是什么?最大的可能性就是非法“挖矿”。现在最紧要的事情就是“夺回”这台服务器的控制权。网安信安全工程师通过“单用户模式”,关掉Redis后将配置改了回来,然后删除掉了黑客远程写入的公钥,很快就“夺回”了服务器的控制权。
进入服务器后,网安信安全工程师发现黑客果然执行了很强的挖矿软件,果断删除。到这里还不算完,网安信安全工程师又对服务器进行了一次详细的安全扫描,很快发现,黑客居然通过这台服务器找到了连接这台服务器的其他服务器上的漏洞成功入侵了另外几台服务器,并同时也在这些服务器上挂了挖矿木马,很是隐蔽,幸亏发现及时,再次果断删除。就这样,该企业的所有被入侵的服务器都恢复了正常运行。
事件总结
事实上,诸如此类因弱密码被爆破引发的安全事件几乎每天都在发生。黑客通过弱密码进入用户账户,获取权限,财务转账,计费修改,实时监控,都能轻松实现。因此,网安信安全团队提醒大家,在日常工作中,大家务必要做到以下8点:
1、不使用空密码或系统缺省的密码,因为这些密码众所周之,为典型的弱口令。
2、密码长度不小于8个字符。
3、密码不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合。
4、密码应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。
5、密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。
6、密码不应该为用数字或符号代替某些字母的单词。
7、密码应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。
8、至少90天内更换一次密码,防止未被发现的入侵者继续使用该密码。