图解
8. 通过NGFW统计在一周的时间范围内外网连接192.168.100.13数据库服务器的连接数量,如下图所示:
图解
通过以上一系列的分析可以了解,目前192.168.100.13这台服务器由于默认开放了1433端口,成为外网攻击的目标。黑客通过socks协议尝试连接1433端口,并通过SQL应用尝试密码或连接服务器查询数据。每周的累计流量已达几百兆。既占用了巨大的带宽资源也增加了企业的风险。
由于192.168.100.13这台服务器存在风险,可能已被入侵,因此我们查看这台设备上产生的流量,可以看到其中有FTP控制连接应用。这个应用同样存在巨大的安全隐患。
FTP服务一般要打开两个端口,一个是数据端口,一个是控制端口,控制端口一般为21,而数据端口不一定是20,这和FTP的应用模式有关,如果是主动模式,应该为20,如果为被动模式,由服务器端和客户端协商而定。
9. 通过关联流量日志的分析,可以看到192.168.100.13通过FTP连接访问外部IP。
10. 通过对目的IP的位置查询可以知道是江西省南昌市。
通过对这台SQL服务器的检查,发现数据库密码已经被黑客修改。黑客控制SQL服务器后通过服务器主动发起FTP请求,访问江西省南昌市的IP下载木马或上传企业内部数据,存在极大风险。
其实,数据库受到的安全威胁还有很多。
1.对弱口令或默认用户名/口令的破解
以前的Oracle数据库有一个默认的用户名:Scott及默认的口令:tiger;而微软的SQL Server的系统管理员账户的默认口令是也是众所周知。当然这些默认的登录对于黑客来说尤其方便,借此他们可以轻松地进入数据库。
Oracle和其它主要的数据库厂商在其新版本的产品中表现得聪明起来,它们不再让用户保持默认的和空的用户名及口令等。但这并不意味着,所有的组织都在较老的数据库中敞开着大门。
Forrester的Yuhanna说,“问题是企业拥有15000个数据库,而完全地保护其安全并不容易。有时企业只能保障关键数据库的安全,其它的就不太安全了。现在,较新的数据库强制使你在安装时改变系统管理员账户的默认口令。但较老的数据库版本可能存在着问题。”
但即使是唯一的、非默认的数据库口令也是不安全的。Sentrigo的 Markovich 说,“你总可以在客户那里找到弱口令和易于猜测的口令。通过强力破解或只试着用不同的组合就可以轻易地找到这种口令。”
口令破解工具有很多,并且通过Google搜索或sectools.org等站点就可以轻易地获得,这样就会连接到Cain 、 Abel或John the Ripper等流行的工具。保护自己免受口令攻击的最佳方法:避免使用默认口令,建立强健的口令管理程序并对口令经常改变。
