香港服务器黑客攻击典型案例分析
1. 香港中文大学Moodle系统数据泄露事件(2024年)
2024年6月,香港中文大学持续及专业进修学院(CUSCS)的“Moodle学习管理系统”遭黑客入侵,导致20,870名学生、教职员工及访客的个人信息泄露,包括姓名、电子邮件地址、学生编号、手机号码等。泄露数据被发布在暗网论坛BreachForums上,部分数据被标注为“已出售给私人团体”。事件发生后,中大立即停用相关账户、重置密码,迁移在线学习平台并加强安全措施(如三次登录失败封锁账户),同时向警方投诉并向个人资料私隐专员公署(PCPD)备案。
2. 香港专业进修学院(港专)450GB机密资料暗网泄露事件(2024年)
港专遭遇高持续性威胁(APT)攻击,黑客入侵其资讯科技网络和档案服务器,盗取并加密450GB机密资料(涵盖内部文件、学生记录等),随后以“撕票”为威胁索要赎金。港专拒绝支付后,黑客将资料公布在暗网,导致近万人查阅。事件促使港专为受影响人士提供半年免费“信贷监察服务”及“暗网监控服务”,并推动其加强网络安全防护体系。
3. 针对香港金融机构的SquidLoader恶意软件攻击(2025年)
Trellix威胁情报团队发现一起针对香港金融机构的隐秘攻击活动,核心为SquidLoader加载程序(高度混淆以规避检测),其功能是部署Cobalt Strike信标以实现远程持久控制。攻击始于伪装成“外汇业务登记表”的鱼叉式钓鱼邮件,附件为密码保护的RAR文件(内含模仿合法系统服务的恶意程序)。SquidLoader具备多项反分析技术:检查沙箱用户名(如“Abby”)、检测分析工具(如ida64.exe)、劫持系统函数(如__scrt_common_main_seh)及动态解析字符串。其C2服务器通信伪装成Kubernetes主题URL(如/api/v1/namespaces/kube-system/services),主要针对香港金融机构,部分活动扩展至新加坡、澳大利亚。
4. 深圳科技公司香港服务器遭爬虫攻击数据泄露事件(2020年)
深圳某电商SaaS公司遭遇香港IP地址的非法访问,先后有两台香港服务器被用于发起攻击:首次非法访问持续3天,产生57万余次请求(涉及35万条订单);第二次持续2天,产生11.7万余次请求(涉及70万条订单)。攻击者通过前端订单查询接口漏洞(未做权限校验),利用爬虫程序窃取用户数据(包括姓名、电话、收货地址、订单详情等),共计泄露52万用户、105万条订单信息,导致客户经济损失约30万元。三名嫌疑人(90后,小学至大专文化)通过租用香港服务器搭建爬虫工具,窃取数据后在网上售卖(获利约5万元),最终被深圳警方抓获。
5. 香港服务器Web服务目录遍历攻击事件(2025年)
香港某数据服务提供商的公网Web服务器(运行Nginx+PHP-FPM架构)遭目录遍历攻击,攻击者通过构造恶意URL(如/etc/passwd、/%2e%2e/%2e%2e/%2e%2e/etc/passwd、/index.php?pagewp-config.php),试图访问系统敏感文件(如系统密码文件、数据库配置文件),导致服务器负载异常(PHP-FPM进程占用CPU 80%以上、内存飙升至3GB),部分用户页面加载缓慢或无法访问。漏洞根因包括:Nginx配置未过滤“../”等非法路径、PHP允许远程文件包含(allow_url_include On)、未设置open_basedir限制脚本访问范围、Web目录权限设置为777(任意用户可写)。防护措施包括:Nginx添加正则过滤非法路径、拦截敏感文件访问;PHP关闭远程文件包含、设置open_basedir、禁用危险函数;调整Web目录权限(755/644);部署Web应用防火墙(WAF)实时拦截遍历行为。
