plsqldeveloper_电脑病毒勒索比特币

大家好，又见面了，我是你们的朋友全栈君。

数据库启动alert报错

         Mon Jul 10 19:51:24 2016
        
         Errors 

         in

         file

         e:\app\administrator\diag\rdbms\zhxh\zhxh\trace\zhxh_ora_3584.trc:
        
         ORA-00604: 递归 SQL 级别 1 出现错误
        
         ORA-20313: 你的数据库已被SQL RUSH Team锁死  发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致)  之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库  Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (

         case

         sensitive),  after that send your Oracle SID to mail address sqlrush@mail.com, we will 

         let

         you know how to unlock your database.
        
         ORA-06512: 在 

         "ZHXH.DBMS_SYSTEM_INTERNAL         "

         , line 15
        
         ORA-06512: 在 line 2
        
         Mon Jul 10 19:51:30 2016
        
         OER 7451 

         in

         Load Indicator : Error Code = OSD-04500: 指定了非法选项
        
         O

         /S-Error

         : (OS 1) 函数不正确。 !
        
         Mon Jul 10 19:51:34 2017
        
         Errors 

         in

         file

         e:\app\administrator\diag\rdbms\zhxh\zhxh\trace\zhxh_ora_824.trc:
        
         ORA-00604: 递归 SQL 级别 1 出现错误
        
         ORA-20313: 你的数据库已被SQL RUSH Team锁死  发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致)  之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库  Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (

         case

         sensitive),  after that send your Oracle SID to mail address sqlrush@mail.com, we will 

         let

         you know how to unlock your database.
        
         ORA-06512: 在 

         "ZHXH.DBMS_SYSTEM_INTERNAL         "

         , line 15
        
         ORA-06512: 在 line 2

afterconnect.sql
是plsql dev登录后自动执行脚本，非Oralce官方脚本

数据库启动后执行触发器DBMS_SUPPORT_INTERNAL

DBMS_SUPPORT_INTERNAL主要的意义是：
1. 当数据库创建时间大于1200天之后，开始备份tab$表
2. 删除tab$中除掉owner#为0和38的记录(sys，xdb)

3. 通过SYS.DBMS_BACKUP_RESTORE.RESETCFILESECTION清理掉备份信息(v$controlfile_record_section)
4. 然后通过DBMS_SYSTEM.KSDWRT在你的alert日志中写上2046次的提示信息
Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.
你的数据库已被SQL RUSH Team锁死发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致) 之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库
5. 再抛出一个前台的和4类似的警告信息
数据库登录触发器DBMS_SYSTEM_INTERNAL

当你的非SYSTEM,SYSAUX,EXAMPLE之外的所有表的最小统计信息时间大于1200天，而且非C89239.EXE程序，就会报出来” 你的数据库已被SQL RUSH Team锁死发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致) 之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库 Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE
(case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.”的信息
数据库登录触发器DBMS_CORE_INTERNAL

这里比较明显，把表名不含$，不含ORACHK，不是cluster的表放到一个游标里面，然后取非SYSTEM,SYSAUX,EXAMPLE之外的表空间的表的最小统计信息收集时间和当前时间比较如果大于1200天就执行truncate table操作，操作完成之后判断如果登录程序不为C89239.EXE，则报出来异常，” 你的数据库已被SQL RUSH Team锁死发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致) 之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库 Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE
(case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.”。

对于这次故障处理方法
1. 如果SELECT NVL(TO_CHAR(SYSDATE-MIN(LAST_ANALYZED)),0) FROM ALL_TABLES WHERE TABLESPACE_NAME NOT IN (‘SYSTEM’,’SYSAUX’,’EXAMPLE’); 小于1200，查询下列语句，然后删除掉(正常库查询为空)

2. 如果SYSDATE-MIN(LAST_ANALYZED)大于1200, SYSDATE-CREATED大于1200天未重启，或者SYSDATE-CREATED小于1200;就是tab$还未被清理,但是表被truncate，这样情况可以通过oracle原厂dul工具恢复

3. 如果SYSDATE-CREATED大于1200天，而且数据库重启过，但是SYSDATE-MIN(LAST_ANALYZED)小于1200天，那可以直接通过把ORACHK’||SUBSTR(SYS_GUID,10)中备份信息插入到$tab中

4. SYSDATE-CREATED大于1200天，而且数据库重启过，但是SYSDATE-MIN(LAST_ANALYZED)大于1200天,Oracle 原厂dul之类工具结合ORACHK’||SUBSTR(SYS_GUID,10)备份表中数据进行恢复

预防策略
1）数据库里面查询下，如果有这些对象，及时给与清理（注意% ‘中间有空格）

         select

         'DROP TRIGGER '

         ||owner||

         '."'

         ||TRIGGER_NAME||

         '";'

         from

         dba_triggers 
        
         where

         TRIGGER_NAME 

         like 

         'DBMS_%_INTERNAL% '
        
         union

         all
        
         select

         'DROP PROCEDURE '

         ||owner||

         '."'

         ||a.object_name||

         '";'

         from

         dba_procedures a 
        
         where

         a.object_name 

         like

         'DBMS_%_INTERNAL% '

         ;
        
         --注意% '之间的空格

2）建议业务用户尽量限制dba 权限

3）检查相关登陆工具的自动运行脚本清理掉有风险脚本

sqlplus中的glogin.sql/login.sql
toad中的toad.ini
plsql dev中的login.sql/afterconnect.sql

4）建议从官方下载工具，不要使用绿色版/破解版等

如果不幸数据库被感染此种勒索比特币事件,而且无法自行恢复的,可以联系我们给予技术支持

转载：plsql dev引起的数据库被黑勒索比特币实现原理分析和解决方案

发布者：全栈程序员-站长，转载请注明出处：https://javaforall.net/107194.html原文链接：https://javaforall.net

plsqldeveloper_电脑病毒勒索比特币

关于作者

全栈程序员-站长

发表回复

plsqldeveloper_电脑病毒勒索比特币

关于作者

全栈程序员-站长

相关推荐

京东-n头熊分苹果「建议收藏」

MESI 协议

GPT-4o：将照片ghibli风格化

makefile中的include的作用(makefile中的变量)

腾讯云搭建Socks5多IP代理服务器实现游戏单窗口单IP完美搭建教程附带工具「建议收藏」

gcc编译过程

发表回复