当前位置:首页 >  科技 >  IT业界 >  正文

Solar应急响应团队:一次管家婆漏洞事件,揭开 AI 自动化漏洞审计与勒索攻击的新趋势

 2026-07-10 11:35  来源: 互联网   我来投稿 撤稿纠错

  一键部署OpenClaw

一个没有开放数据库端口的内网,一个密码足够复杂的数据库账号,一台没有任何Web漏洞的服务器——却在一夜之间被勒索病毒加密了全部文件。

更诡异的是,所有日志干干净净,没有任何入侵痕迹。

仿佛黑客是隔空取物

这不是电影情节。过去几个月,Solar安全应急响应团队连续处置了多起这样的“幽灵入侵”事件。受害者有一个惊人的共同点:他们都装了管家婆。

一、一个被所有人忽视的端口

管家婆系列软件(辉煌Ⅱ、TOP+、ERP等)是国内中小企业最常用的进销存管理工具之一。装机量巨大,几乎覆盖了制造业、零售业、批发业的半壁江山。

我们在多起案例中发现:受害企业的服务器上,都有一个211端口默默对外开放。

这个端口不是网站,不是数据库,而是管家婆客户端连接服务端的“数据中转站”——一个基于Delphi MIDAS协议的Socket通信服务。

绝大多数运维人员根本不知道它的存在,更不会想到要封它。

但黑客知道。

二、无需密码,无需客户端,直达最高权限

211端口上的服务没有任何认证机制。任何人只要能TCP连上这个端口,就能直接调用服务端的核心方法——包括执行任意SQL语句。

更具体地说:

·不需要用户名密码(连接阶段没有鉴权)

·不需要管家婆客户端(用一段Python脚本即可)

·不需要知道数据库密码(借用管家婆自己的sa连接)

·不需要数据库端口开放(命令从应用内部发出)

攻击者只需连上211端口,经过简单的握手协议,就能以数据库最高权限(sa)执行系统命令,最终获得Windows SYSTEM权限——这是操作系统的最高权限。

从连接到完全控制,全程不产生任何登录日志。

三、为什么传统安全设备全部失灵

这个漏洞之所以“完美”,是因为它精准地避开了所有常规检测手段:

不是没被攻击,是这条路天生不留脚印。

四、更可怕的趋势:AI正在帮黑客批量挖洞

让我们真正担忧的不只是这一个漏洞,而是背后的趋势。

管家婆系列软件的安装包在互联网上可以公开下载。我们观察到,Weaxor和Tellyouthepass两个勒索家族正在快速横向扩展攻击目标——从管家婆辉煌到物联通,再到ERP,几乎都是以0day(官方未修复的全新漏洞)作为突破口。

从下载安装包到漏洞被武器化投入实战,这个周期被压缩到了令人不安的程度。

我们不得不做出一个严肃判断:勒索组织可能已经在用AI进行自动化漏洞审计。

这意味着,过去需要高水平黑客花数周完成的漏洞挖掘,现在可能只需要几天甚至几小时。“下载软件→AI审计→发现漏洞→武器化→批量投放”的闭环正在形成。

五、这不只是管家婆的问题

在研究过程中,我们对同网段做了211端口扫描,一次就发现4台不同的应用服务器暴露了同样的MIDAS服务。它们来自不同的厂商、不同的产品线,但底层都用了同一套Delphi Socket Server架构。

结论:任何使用“Delphi MIDAS + scktsrvr + 无认证”架构的应用,都可能存在同类漏洞。管家婆只是冰山一角——它暴露量最大,所以最先被盯上。

攻击者手里已经有了一本“CLSID字典”,能精准识别211端口背后是什么应用,然后对号入座地打。

六、你现在应该做什么

今天就做:

·检查你的服务器是否有211端口对公网开放(netstat -an | findstr 211)

·如果有,立即在防火墙/安全组封掉211的公网访问,仅允许内网可信IP

本周内做:

·联系管家婆官方获取修复版本的scktsrvr.exe

·禁用SQL Server的xp_cmdshell和Ole Automation Procedures

·检查SQL Server服务账户权限,不要用LocalSystem运行

持续做:

·在211端口流量上部署协议级监测

·关注SQL Server的sp_configure变更事件

·如果已经被加密过一次,恢复前务必彻底清除后门并封堵211——否则攻击者会再来

七、写在最后

这篇文章的目的不是制造恐慌,而是填补一个信息差。

在我们处置的案例中,没有一家企业的运维人员知道211端口意味着什么。他们做了该做的一切——复杂密码、关闭数据库端口、部署防火墙——但还是被“隔空”打穿了。

安全的敌人不是疏忽,是盲区。

如果你的公司或者你客户的公司在用管家婆,或者在用任何基于Delphi开发的C/S架构软件,请把这篇文章转给负责IT的同事。5分钟的操作,可能避免一次让公司停摆的勒索事件。

本文基于思而听安全 | Solar应急响应团队

实战案例与逆向研究

所有结论经靶场验证,技术细节供安全同行复测参考

关注思而听,获取更多一线安全情报与防御指南

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
ai

相关文章

  • 构建“商业航天+AI”新范式,打造全球智能遥感超元星座,「瑞启深空」完成2.2亿元天使轮融资

    摘要:“单星硬件打底、星座协同提速、数据情报变现”三层技术闭环。商业遥感赛道正在经历一场价值重估。36氪获悉,瑞启深空科技(苏州)有限公司(以下简称“瑞启深空”)近日完成2.2亿元天使轮融资,投资方为苏高新金控、苏高新投资、卓璞资本等多家机构。资金将主要用于卫星研制与发射、地面系统及早期数据中心搭建

    标签:
    ai
  • AI玩具、联网设备、Token经济都在用的"体验诊断指南",出炉了

    近几年,AI硬件和设备出海赛道愈发火热。大家坐在一起,讨论最核心的话题通常是:我的产品能加入AI吗?跨国连接怎么保证不掉线?生产各个环节的成本怎么打下来?……但当你千辛万苦把这些号称“智商爆表”的AI玩具、AI眼镜、AI机器人、智能设备推向市场,尤其是漂洋过海送到海外客户手里时,真正的雷才刚刚引爆:

    标签:
    ai
  • BodyPark ATOM 口袋 AI 私教机国内发布,让一个人训练也能拥有实时反馈

    【上海,2026年6月】近日,数字化私教平台BodyPark型动公园正式在国内发布全新智能硬件产品BodyParkATOM口袋AI私教机。作为一款面向健身训练场景的AIFitnessCompanion,ATOM希望解决用户在独自训练中常见的痛点:动作没人看、次数靠自己数、训练质量不清楚、练完缺少复盘

    标签:
    ai
  • Momenta携手荣威家越07,让“物理AI”开进千家万户

    荣威AI原生家越序列首款车型家越07,官方披露将搭载最新一代MomentaR7世界模型高阶智能辅助驾驶方案,双方将在物理AI领域展开深度合作。据悉,Momenta将于近期赴港上市,上汽荣威也预祝Momenta成为“物理AI第一股”。作为智能驾驶领域的头部科技企业,Momenta长期深耕量产辅助驾驶技

    标签:
    ai
  • 中国文化跨越国界,AI潮玩开辟全球高端收藏新赛道

    “每天加班结束回到公寓,抱着MOMOTOY墩墩兽坐一会儿,紧绷的情绪一下子就能放松下来,身边很多同事都入手了。”在Meta从事研发工作的海外青年艾拉分享。加州硅谷圣克拉拉,StonestownGalleria商场的新店外,慕名而来的本地消费者排起长队。谷歌、Meta、苹果等科技企业的青年从业者、资深

    标签:
    ai

热门排行

信息推荐