瑞星捕获境外传毒主机 数千数据库账号密码遭泄露

　　图：传毒主机

　　产生这一现象主要有三个原因，一方面是管理人员为了方便维护，而使用弱口令账号密码;另一方面，大量网站是由外包公司开发，部分外包公司安全建设不到位，网站交付用户后没有修改测试时使用的默认口令;此外，相关人员安全意识不足也是导致弱口令产生的主要原因。

　　图：phpMyAdmin弱口令攻击成功的机器

　　图：MSSQL弱口令攻击成功的机器

　　此次利用弱口令攻击的事件并非个例，近年来，由弱口令密码引发的安全隐患日渐凸显，从而引发的信息泄露事件也是数不胜数，例如：近期德国近千名公众人物，包括记者、政治人物、歌手的个人资料被公布，经警方追查，凶手是一名20岁的学生，且只是利用受害者的弱密码就黑入他们的帐号窃取获得了个人资料。

　　弱口令一直是网络安全的一大症结，因为弱口令是最容易出现的、也是最容易被利用的漏洞之一。 对于个人账户来说，使用弱口令会造成隐私泄露、财产损失等隐患;对企业账户而言，攻击者可以通过弱口令轻易进入后台，窃取企业内部资料，造成大规模损失。

　　对弱口令攻击问题，瑞星专家建议：首先要提高安全意识，在设立密码时要提高密码复杂程度、及时修改默认密码;另外，企业需要建立完善的网络安全监控体系和应急事件响应措施，对于网络攻击做到及时发现、快速处理。

　　那么，怎样才能设置一个不易破解的口令呢?

　　一、口令长度应不小于8个字符，并由大小写字母、数字和特殊字符组成;

　　二、口令不得为帐号一部分或包含账号;

　　三、口令不应为连续的某个字符或重复某些字符的组合;

　　四、口令不应包含root、admin、公司名称、产品名称、姓名、手机号等常见的弱口令元素;

　　五、不使用常见的连续按键，如：1qaz@wsx、qwert、asdfghjkl;、!@#、147258369(数字键盘)等。

　　技术分析

　　攻击者通过弱口令扫描网络中的机器，暴力破解密码，一旦密码破解成功，就会将病毒植入到被攻击机器。

　　病毒运行后添加开机自启动项。

　　图：开机启动项

　　释放挖矿程序和运行挖矿程序的批处理脚本。

　　图：挖矿程序和启动脚本

　　调用脚本运行挖矿程序，传入矿池地址和虚拟货币钱包地址。

　　图：挖矿程序的启动脚本

　　挖矿程序运行后，连接控制主机挖矿消耗计算机资源，使CPU占用率极高。此病毒没有使用常用的xmrig挖矿，而是使用了另一个开源的挖矿程序JC Expert Cryptonote CPU Miner修改而来。

　　图：挖矿消耗计算机资源

　　为什么选择海外主机租用

　　海外主机租用刚开始是做外贸的公司放他们对外的网站，面向海外的访客，国外访客户访问速度很快，就像国内访客访问国内网站一样，秒开。但是现在国家对网络管制的重视，备案要求越来越严格，对互联网违法违规项目的惩罚越来越严厉，很多站长选择海进行海外主机租用。

　　从国内访问国外主机是走的国际出口带宽。根据互联网信息中心(CNNIC)的统计，中国跟国际中间的出口总带宽仅只有100G左右，国内的一个普通电信机房带宽都可以达到100G，可见国际带宽出口是多么小。

　　海外主机租用的意思被放置在海外的数据中心并由海外机房提供WEB接入服务，外贸企业如果把官网放在国内机房，会影响网站再海外的搜索引擎的排名。

　　Google默认以你的IP所属地理位置来计算你的搜索排名，譬如说放在国内，排名是国内的排名，在美国搜索是没有排名的。所以做外贸的网站最佳选择就是进行海外主机租用，去你的客户群体所在的地区，放置自己的外贸网站，达到自己销售产品的效果。

　　海外主机租用，特别是发到国家，主机租用市场成熟规范，网络和硬件基础先进，网络带宽相对于国内便宜很多，IP也充足，适合站群主机，性价比较高，可以通过譬如像我们公司本公司这样的国内全球化IDC公司，来进行海外主机租用，精选海外优质的数据中心来合作，省去了跟老外的沟通不便，直接有我们公司来提供服务。