首页必读视频专题飞象趣谈光通信人工智能低空机器人智能汽车终端会展特约记者

Solar应急响应团队:一次管家婆漏洞事件,揭开 AI 自动化漏洞审计与勒索攻击的新趋势

2026年7月10日 10:51CCTIME飞象网

一个没有开放数据库端口的内网,一个密码足够复杂的数据库账号,一台没有任何Web漏洞的服务器——却在一夜之间被勒索病毒加密了全部文件。

更诡异的是,所有日志干干净净,没有任何入侵痕迹。

仿佛黑客是隔空取物

这不是电影情节。过去几个月,Solar安全应急响应团队连续处置了多起这样的“幽灵入侵”事件。受害者有一个惊人的共同点:他们都装了管家婆。

一、一个被所有人忽视的端口

管家婆系列软件(辉煌Ⅱ、TOP+、ERP等)是国内中小企业最常用的进销存管理工具之一。装机量巨大,几乎覆盖了制造业、零售业、批发业的半壁江山。

我们在多起案例中发现:受害企业的服务器上,都有一个211端口默默对外开放。

这个端口不是网站,不是数据库,而是管家婆客户端连接服务端的“数据中转站”——一个基于Delphi MIDAS协议的Socket通信服务。

绝大多数运维人员根本不知道它的存在,更不会想到要封它。

但黑客知道。

二、无需密码,无需客户端,直达最高权限

211端口上的服务没有任何认证机制。任何人只要能TCP连上这个端口,就能直接调用服务端的核心方法——包括执行任意SQL语句。

更具体地说:

·不需要用户名密码(连接阶段没有鉴权)

·不需要管家婆客户端(用一段Python脚本即可)

·不需要知道数据库密码(借用管家婆自己的sa连接)

·不需要数据库端口开放(命令从应用内部发出)

攻击者只需连上211端口,经过简单的握手协议,就能以数据库最高权限(sa)执行系统命令,最终获得Windows SYSTEM权限——这是操作系统的最高权限。

从连接到完全控制,全程不产生任何登录日志。

三、为什么传统安全设备全部失灵

这个漏洞之所以“完美”,是因为它精准地避开了所有常规检测手段:

不是没被攻击,是这条路天生不留脚印。

四、更可怕的趋势:AI正在帮黑客批量挖洞

让我们真正担忧的不只是这一个漏洞,而是背后的趋势。

管家婆系列软件的安装包在互联网上可以公开下载。我们观察到,Weaxor和Tellyouthepass两个勒索家族正在快速横向扩展攻击目标——从管家婆辉煌到物联通,再到ERP,几乎都是以0day(官方未修复的全新漏洞)作为突破口。

从下载安装包到漏洞被武器化投入实战,这个周期被压缩到了令人不安的程度。

我们不得不做出一个严肃判断:勒索组织可能已经在用AI进行自动化漏洞审计。

这意味着,过去需要高水平黑客花数周完成的漏洞挖掘,现在可能只需要几天甚至几小时。“下载软件→AI审计→发现漏洞→武器化→批量投放”的闭环正在形成。

五、这不只是管家婆的问题

在研究过程中,我们对同网段做了211端口扫描,一次就发现4台不同的应用服务器暴露了同样的MIDAS服务。它们来自不同的厂商、不同的产品线,但底层都用了同一套Delphi Socket Server架构。

结论:任何使用“Delphi MIDAS + scktsrvr + 无认证”架构的应用,都可能存在同类漏洞。管家婆只是冰山一角——它暴露量最大,所以最先被盯上。

攻击者手里已经有了一本“CLSID字典”,能精准识别211端口背后是什么应用,然后对号入座地打。

六、你现在应该做什么

今天就做:

·检查你的服务器是否有211端口对公网开放(netstat -an | findstr 211)

·如果有,立即在防火墙/安全组封掉211的公网访问,仅允许内网可信IP

本周内做:

·联系管家婆官方获取修复版本的scktsrvr.exe

·禁用SQL Server的xp_cmdshell和Ole Automation Procedures

·检查SQL Server服务账户权限,不要用LocalSystem运行

持续做:

·在211端口流量上部署协议级监测

·关注SQL Server的sp_configure变更事件

·如果已经被加密过一次,恢复前务必彻底清除后门并封堵211——否则攻击者会再来

七、写在最后

这篇文章的目的不是制造恐慌,而是填补一个信息差。

在我们处置的案例中,没有一家企业的运维人员知道211端口意味着什么。他们做了该做的一切——复杂密码、关闭数据库端口、部署防火墙——但还是被“隔空”打穿了。

安全的敌人不是疏忽,是盲区。

如果你的公司或者你客户的公司在用管家婆,或者在用任何基于Delphi开发的C/S架构软件,请把这篇文章转给负责IT的同事。5分钟的操作,可能避免一次让公司停摆的勒索事件。


本文基于思而听安全 | Solar应急响应团队

实战案例与逆向研究

所有结论经靶场验证,技术细节供安全同行复测参考

关注思而听,获取更多一线安全情报与防御指南

编 辑:T01
飞象网版权及免责声明:
1.本网刊载内容,凡注明来源为“飞象网”和“飞象原创”皆属飞象网版权所有,未经允许禁止转载、摘编及镜像,违者必究。对于经过授权可以转载,请必须保持转载文章、图像、音视频的完整性,并完整标注作者信息和飞象网来源。
2.凡注明“来源:XXXX”的作品,均转载自其它媒体,在于传播更多行业信息,并不代表本网赞同其观点和对其真实性负责。
3.如因作品内容、版权和其它问题,请在相关作品刊发之日起30日内与本网联系,我们将第一时间予以处理。
本站联系电话为86-010-87765777,邮件后缀为cctime.com,冒充本站员工以任何其他联系方式,进行的“内容核实”、“商务联系”等行为,均不能代表本站。本站拥有对此声明的最终解释权。
推荐阅读

精彩视频

精彩专题

关于我们广告报价联系我们隐私声明本站地图

CCTIME飞象网 CopyRight © 2007-2026 By CCTIME.COM

京ICP备08004280号-1 电信与信息服务业务经营许可证080234号 京公网安备110105000771号

公司名称: 北京飞象互动文化传媒有限公司

未经书面许可,禁止转载、摘编、复制、镜像