1. 全栈程序员必看首页

plsqldeveloper_电脑病毒勒索比特币

全栈程序员-站长 未分类 阅读 141

plsqldeveloper_电脑病毒勒索比特币plsql dev引起的数据库被黑勒索比特币实现原理分析和解决方案—-惜分飞

大家好,又见面了,我是你们的朋友全栈君。

数据库启动alert报错

Mon Jul 10 19:51:24 2016
Errors
in
file
e:\app\administrator\diag\rdbms\zhxh\zhxh\trace\zhxh_ora_3584.trc:
ORA-00604: 递归 SQL 级别 1 出现错误
ORA-20313: 你的数据库已被SQL RUSH Team锁死  发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致)  之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库  Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (
case
sensitive),  after that send your Oracle SID to mail address sqlrush@mail.com, we will
let
you know how to unlock your database.
ORA-06512: 在
"ZHXH.DBMS_SYSTEM_INTERNAL         "
, line 15
ORA-06512: 在 line 2
Mon Jul 10 19:51:30 2016
OER 7451
in
Load Indicator : Error Code = OSD-04500: 指定了非法选项
O
/S-Error
: (OS 1) 函数不正确。 !
Mon Jul 10 19:51:34 2017
Errors
in
file
e:\app\administrator\diag\rdbms\zhxh\zhxh\trace\zhxh_ora_824.trc:
ORA-00604: 递归 SQL 级别 1 出现错误
ORA-20313: 你的数据库已被SQL RUSH Team锁死  发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致)  之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库  Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (
case
sensitive),  after that send your Oracle SID to mail address sqlrush@mail.com, we will
let
you know how to unlock your database.
ORA-06512: 在
"ZHXH.DBMS_SYSTEM_INTERNAL         "
, line 15
ORA-06512: 在 line 2

afterconnect.sql
是plsql dev登录后自动执行脚本,非Oralce官方脚本
1

数据库启动后执行触发器DBMS_SUPPORT_INTERNAL
2
3

DBMS_SUPPORT_INTERNAL主要的意义是:
1. 当数据库创建时间大于1200天之后,开始备份tab$表
2. 删除tab$中除掉owner#为0和38的记录(sys,xdb)
4

3. 通过SYS.DBMS_BACKUP_RESTORE.RESETCFILESECTION清理掉备份信息(v$controlfile_record_section)
4. 然后通过DBMS_SYSTEM.KSDWRT在你的alert日志中写上2046次的提示信息
Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.
你的数据库已被SQL RUSH Team锁死 发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致) 之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库
5. 再抛出一个前台的和4类似的警告信息
数据库登录触发器DBMS_SYSTEM_INTERNAL
6
7

当你的非SYSTEM,SYSAUX,EXAMPLE之外的所有表的最小统计信息时间大于1200天,而且非C89239.EXE程序,就会报出来” 你的数据库已被SQL RUSH Team锁死 发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致) 之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库 Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE
(case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.”的信息
数据库登录触发器DBMS_CORE_INTERNAL
8
9
5

这里比较明显,把表名不含$,不含ORACHK,不是cluster的表放到一个游标里面,然后取非SYSTEM,SYSAUX,EXAMPLE之外的表空间的表的最小统计信息收集时间和当前时间比较如果大于1200天就执行truncate table操作,操作完成之后判断如果登录程序不为C89239.EXE,则报出来异常,” 你的数据库已被SQL RUSH Team锁死 发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致) 之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库 Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE
(case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.”。

对于这次故障处理方法
1. 如果SELECT NVL(TO_CHAR(SYSDATE-MIN(LAST_ANALYZED)),0) FROM ALL_TABLES WHERE TABLESPACE_NAME NOT IN (‘SYSTEM’,’SYSAUX’,’EXAMPLE’); 小于1200,查询下列语句,然后删除掉(正常库查询为空)

2. 如果SYSDATE-MIN(LAST_ANALYZED)大于1200, SYSDATE-CREATED大于1200天未重启,或者SYSDATE-CREATED小于1200;就是tab$还未被清理,但是表被truncate,这样情况可以通过oracle原厂dul工具恢复

3. 如果SYSDATE-CREATED大于1200天,而且数据库重启过,但是SYSDATE-MIN(LAST_ANALYZED)小于1200天,那可以直接通过把ORACHK’||SUBSTR(SYS_GUID,10)中备份信息插入到$tab中

4. SYSDATE-CREATED大于1200天,而且数据库重启过,但是SYSDATE-MIN(LAST_ANALYZED)大于1200天,Oracle 原厂dul之类工具结合ORACHK’||SUBSTR(SYS_GUID,10)备份表中数据进行恢复
dul

预防策略
1)数据库里面查询下,如果有这些对象,及时给与清理(注意% ‘中间有空格)

select
'DROP TRIGGER '
||owner||
'."'
||TRIGGER_NAME||
'";'
from
dba_triggers
where
TRIGGER_NAME
like 
'DBMS_%_INTERNAL% '
union
all
select
'DROP PROCEDURE '
||owner||
'."'
||a.object_name||
'";'
from
dba_procedures a
where
a.object_name
like
'DBMS_%_INTERNAL% '
;
--注意% '之间的空格

2)建议业务用户尽量限制dba 权限

3)检查相关登陆工具的自动运行脚本 清理掉有风险脚本

sqlplus中的glogin.sql/login.sql
toad中的toad.ini
plsql dev中的login.sql/afterconnect.sql

4)建议从官方下载工具,不要使用绿色版/破解版等

如果不幸数据库被感染此种勒索比特币事件,而且无法自行恢复的,可以联系我们给予技术支持

转载:plsql dev引起的数据库被黑勒索比特币实现原理分析和解决方案    

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/107194.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • 如何申请试用Drone2Map?[通俗易懂]

    如何申请试用Drone2Map?[通俗易懂]

    如何申请试用Drone2Map?[通俗易懂]介绍如何申请试用Drone2Map。

    全栈程序员-站长的头像 全栈程序员-站长
    2022年8月15日
    5
  • 风控模型的基础知识

    风控模型的基础知识

    风控模型的基础知识风控模型根据设定的y变量与可获得的x变量不同,大致可以分为三类:即A卡,B卡,C卡。今天就让我们聊聊三者的区别。1、A卡(Applicationscorecard)A卡即申请评分模型,此类风控模型的目的在于预测申请时点(申请信用卡、申请贷款)未来一定时间内逾期的概率。Y变量的设定观察点为申请时点,定义为表现期内是否逾期。X变量一般只有客户填写的申请书信息,加上外部查询的数据与征信报告。2、B卡(Behaviorscorecard)B卡即行为评分模型,此类风控模型的目的在于预测使用时点(获得贷

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月30日
    39
  • python如何多行输出_python换行输出 Python里具体怎么用\n换行输出一个数字?[通俗易懂]

    python如何多行输出_python换行输出 Python里具体怎么用\n换行输出一个数字?[通俗易懂]

    python里如何把每打印10个数就换行的实现print(“每输出十个数字换行,共计输出100个:”)fornuminrange(1,100):#循环一百次print(“%3d”%num,end=””)#不换行输出if(num%10==0):print(“”)#换行输出人的一生要有多艰难,多坎坷而又要多幸运,多凑巧,才能遇到一个绊住自己心的人。如何用python将内…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年4月10日
    89
  • 罗马字符及数字_9罗马数字

    罗马字符及数字_9罗马数字

    罗马字符及数字_9罗马数字罗马字符及数字小写 大写   中文      英文 α  Α    阿尔法  aerfar β   Β     卑塔     beita γ  Γ     嘎吗   gama δ  Δ    德儿塔    derlta ε   Ε   依普西龙   ipuseilong ζ   Ζ    zei塔  zei

    全栈程序员-站长的头像 全栈程序员-站长
    2022年9月30日
    2
  • laravel 验证码手机与提交手机的验证?

    laravel 验证码手机与提交手机的验证?

    laravel 验证码手机与提交手机的验证?

    全栈程序员-站长的头像 全栈程序员-站长
    2021年10月25日
    43
  • Docker快速入门总结笔记 docker

    Docker快速入门总结笔记

    Docker快速入门总结笔记Docker是一个开源的应用容器引擎,基于Go语言并遵从Apache2.0协议开源。Docker可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月29日
    28

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号