近日，瑞星威脅情報系統捕獲到了一臺境外傳毒服務器，攻擊者通過弱口令掃描網絡中的機器并植入病毒。經過進一步調查，瑞星專家發現這臺傳毒服務器中竟存儲了兩千多臺MSSQL服務器和六百多臺phpMyAdmin服務器的IP地址和弱口令賬號密碼。由此可見，網絡中仍然有如此多的機器使用弱口令和默認賬號密碼，令人觸目驚心。

　　圖：傳毒服務器

　　產生這一現象主要有三個原因，一方面是管理人員為了方便維護，而使用弱口令賬號密碼;另一方面，大量網站是由外包公司開發，部分外包公司安全建設不到位，網站交付用戶后沒有修改測試時使用的默認口令;此外，相關人員安全意識不足也是導致弱口令產生的主要原因。

　　圖：phpMyAdmin弱口令攻擊成功的機器

　　圖：MSSQL弱口令攻擊成功的機器

　　此次利用弱口令攻擊的事件并非個例，近年來，由弱口令密碼引發的安全隱患日漸凸顯，從而引發的信息泄露事件也是數不勝數，例如：近期德國近千名公眾人物，包括記者、政治人物、歌手的個人資料被公布，經警方追查，兇手是一名20歲的學生，且只是利用受害者的弱密碼就黑入他們的帳號竊取獲得了個人資料。

　　弱口令一直是網絡安全的一大癥結，因為弱口令是最容易出現的、也是最容易被利用的漏洞之一。 對于個人賬戶來說，使用弱口令會造成隱私泄露、財產損失等隱患;對企業賬戶而言，攻擊者可以通過弱口令輕易進入后臺，竊取企業內部資料，造成大規模損失。

　　對弱口令攻擊問題，瑞星專家建議：首先要提高安全意識，在設立密碼時要提高密碼復雜程度、及時修改默認密碼;另外，企業需要建立完善的網絡安全監控體系和應急事件響應措施，對于網絡攻擊做到及時發現、快速處理。

　　那么，怎樣才能設置一個不易破解的口令呢?

　　一、口令長度應不小于8個字符，并由大小寫字母、數字和特殊字符組成;

　　二、口令不得為帳號一部分或包含賬號;

　　三、口令不應為連續的某個字符或重復某些字符的組合;

　　四、口令不應包含root、admin、公司名稱、產品名稱、姓名、手機號等常見的弱口令元素;

　　五、不使用常見的連續按鍵，如：1qaz@wsx、qwert、asdfghjkl;、!@#、147258369(數字鍵盤)等。

　　技術分析

　　攻擊者通過弱口令掃描網絡中的機器，暴力破解密碼，一旦密碼破解成功，就會將病毒植入到被攻擊機器。

　　病毒運行后添加開機自啟動項。

　　圖：開機啟動項

　　釋放挖礦程序和運行挖礦程序的批處理腳本。

　　圖：挖礦程序和啟動腳本

　　調用腳本運行挖礦程序，傳入礦池地址和虛擬貨幣錢包地址。

　　圖：挖礦程序的啟動腳本

　　挖礦程序運行后，連接控制服務器挖礦消耗計算機資源，使CPU占用率極高。此病毒沒有使用常用的xmrig挖礦，而是使用了另一個開源的挖礦程序JC Expert Cryptonote CPU Miner修改而來。

　　圖：挖礦消耗計算機資源