首頁安全服務安全公告
正文

Oracle勒索病毒的安全預警與自查

發布時間:2018-11-19 17:11   瀏覽次數:798


1.概述        

       近日,國內諸多Oracle數據庫遭受了勒索病毒感染的安全事件,此次受感染根本原因是下載網絡上提供的帶有勒索病毒的免費PL/SQL Developer工具(破解版)。國內大部分Oracle DBA及運維人員,最喜歡用的Oracle遠程連接工具就是PL/SQL Dev(破解版)。此勒索病毒在2016年底開始就有相關報道,它為了增加破壞效果,加強隱蔽性,只有當數據庫勒索病毒創建時間超過1200天才會爆發,有很長的潛伏期,系統中毒后危害極大,且很難恢復數據。


       如果用戶的賬號擁有DBA管理權限,病毒通過PL/SQL Dev工具在數據庫中創建多個存儲過程和觸發器,會阻止用戶連接數據庫。當用戶重新啟動后,會觸發病毒觸發器,加密并刪除sys.tab$,導致用戶無法訪問數據庫中所有的schema, 并出現如下勒索信息“你的數據庫已經被SQL RUSH team鎖死,請發送5個比特幣到xxxxxxxxxxx地址,….”等信息,并設置任務計劃,如果在定期內不發送比特幣,就truncate所有的數據庫表。

1.png


2. Oracle自檢查

2.1服務端檢查

語句自查如下:

SELECT'DROPTRIGGER '||owner||'."'||TRIGGER_NAME||'";'

FROMdba_triggers

WHERE TRIGGER_NAMELIKE  'DBMS_%_INTERNAL%'

UNION ALL

SELECT'DROPPROCEDURE '||owner||'."'||a.object_name||'";'

FROMdba_procedures a

WHEREa.object_name LIKE 'DBMS_%_INTERNAL% ';


2.png

語句執行后,若為空,則表示Oracle數據庫當前是安全的,未中此勒索病毒。

或查看是否存在如下對象內容:


對象名

對象內容

DBMS_SUPPORT_INTERNAL

TRIGGER

DBMS_SUPPORT_INTERNAL

PROCEDURE

DBMS_SYSTEM_INTERNAL

TRIGGER

DBMS_CORE_INTERNAL

TRIGGER

DBMS_SYSTEM_INTERNAL

PROCEDURE

DBMS_CORE_INTERNAL

PROCEDURE

DBMS_STANDARD_FUN9

PROCEDURE

2.2客戶端檢查

在PL/SQL Developer工具安裝目錄,查看Afterconnect.sql和login.sql文件。

正常Afterconnect.sql文件是空白,則為0KB;Login.sql打開后,只有一行注釋“- -Autostart Command Window script ”。如果這兩個文件里有其他信息,則有大概率,此為病毒信息。


3.png

3.安全建議

為了做好Oracle勒索病毒攻擊防護工作,海峽信息提出如下建議:

運維管理:要嚴格禁止數據庫運維人員使用第三方破解版Oracle遠程管理軟件,應使用Oracle自帶的、第三方正版的客戶端軟件管理Oracle數據庫;

內部自查:自查系統中Oracle數據庫及其管理運維人員使用的PL/SQL Developer工具,確認沒有惡意程序;

權限控制:嚴格控制Oracle生產環境的DBA權限,禁止不經過安全監測的客戶端計算機及軟件直接遠程管理數據庫。


福建省海峽信息技術有限公司 版權所有  聯系: [email protected] 閩ICP備06011901號 ? 1999-2019 Fujian Strait Information Corporation. All Rights Reserved.

返回頂部

安徽十一选五预测号码 那个重庆时时彩软件好 货币基金配资 北京pk10全天免费计划 北京快三全天稳赚计划 宁波股票配资公司 最安全的十大理财平台 环球策略 山西体十一选五走势图 聚众赌博量刑 天津十一选五一个月号码查询