今年7月,腾讯安全御见威胁情报中心首次监测到KoiMiner木马,利用Apache Struts2的高危漏洞入侵企业服务器进行挖矿;11月,再次发现升级到6.0版本的KoiMiner挖矿木马变种,专门针对企业SQL Server服务器的1433端口爆破攻击进行蠕虫式传播。

近期,KoiMiner木马的踪迹再次被腾讯安全御见威胁情报中心监测捕捉,此次的样本依然专门针对企业1433端口,控制企业机器后进一步植入挖矿木马进行挖矿获利。目前,腾讯安全团队通过溯源分析已锁定发起该木马攻击活动的疑似团伙和控制者。

以下讲解几款市面主流品牌路由器的端口映射：

1）Tp-link路由器（以Tp-link R460为例）

内网IP：192.168.1.101是WEB服务器，TP-LINK系列路由器的默认管理地址为http://192.168.0.1，账号admin密码admin 登录到路由器的管理界面，点击路由器的转发规则—虚拟服务器—添加新条目，如图3：

1，用netstat命令是否有TCP1433端口。

2，打开SQL Server配置管理器，找到“网络配置”，查看TCP/IP是否禁用。

3，点击鼠标右键，然后点击“启用”，提示重启SQL Server。

一、确认SqlServer已安装成功

二、确认SqlServer服务已启动

打开本地服务管理器，确定已启动SQL Server(SQL EXPRESS)服务

最近，360互联网安全中心监测到一种利用被入侵服务器进行门罗币挖矿的僵尸网络，该僵尸网络控制的服务器数量高峰时单日达到两万多台。不法分子通过控制这些服务器来实现挖矿，以此牟取暴利。目前，360已经率先破解该僵尸网络的运行模式，并能有效拦截查杀此类攻击。

僵尸网络建立初期，利用“永恒之蓝”病毒的漏洞攻击武器，入侵一定数量的计算机并以此作为发展基础。之后这些“僵尸”计算机通过再扫描并爆破感染其他电脑，不断扩大僵尸网络控制范围而被入侵的“僵尸”计算机不知不觉中就被远程控制，不仅个人隐私全部泄露，还会沦为不法分子的犯罪工具！

经过前段时间“断崖式”下跌之后，主流数字货币近期迎来“破发”，再次成为投资者追捧的宠儿。除正常“挖矿”以外，不法黑客也动起了歪脑筋，通过种种攻击手段，植入挖矿恶意程序获取非法收益。近期，腾讯安全御见威胁情报中心监测到黑产团伙针对MS SQL服务器进行弱口令爆破攻击，进而植入门罗币挖矿木马及anydesk远程控制软件占有服务器，伺机侵占更多服务器资源谋取暴利。截止目前，该团伙已入侵国内超500台企业服务器。

我们学习网络技术中，经常会遇到所谓的端口，那么端口是什么意思呢，网络技术中的端口默认指的是TCP/IP协议中的服务端口，一共有0-65535个端口，比如我们最常见的端口是80端口，默认访问网站的端口就是80，你直接在浏览器打开www.solves.com.cn:80，会发现浏览器默认把80去掉，就是因为这是个默认端口，所以没必要再显示出来，还有用于ftp文件传输的21端口，我们知道一台主机通常可以提供网页服务，ftp服务，邮件的SMTP服务等，都是可以同时在一个ip上进行的，那为什么不会造成混乱呢，原因就是通过ip+端口来区分这些服务，让每个端口有自己的分工，又能同时使用一个ip地址。

对于1433端口，我估计稍微有点计算机网络基础的人都知道它是微软数据库SQL SERVER 的默认端口，这样就有些人出于好奇或者胸有鳞甲的人琢磨如何攻破它，从中获取一些有用的数据，非法牟利。所以这个端口很危险，我们一定要想方设法把1433端口改为其他不熟悉的端口。