oracle数据库遭遇比特币攻击
2017-04-01 16:30
253 查看
今天来到公司,组长说数据库中病毒了,提示数据库被锁死。我在网上搜索得知是遭遇了比特币勒索攻击。
问题症状:
登录数据库时,提示数据库被锁死,黑客提示发送5个比特币可以解锁。
如果从客户端登录,你获得的提示信息示例了能如下:
在数据库的日志中,可能获得的信息如下:
问题原因:
根据我们收集的信息分析,这个问题的原因是:
如果用户从某些不明来源下载了PL/SQL Developer工具后(尤其是各种绿色版、破解版),这个工具的安装目录存在一个脚本文件AfterConnect.sql,正常安装这个脚本是空文件,但是被注入的文件,该脚本包含了一系列的JOB定义、存储过程和触发器定义。
受感染的AfterConnect.sql脚本开头伪装非常正常的代码:
实质内容却是加密的恶意代码:
程序的开始加入了下面代码:
看到这里真是感觉黑客太阴险了,同时也佩服他们的聪明之处,嗨,总之
做好下面几点吧:
采用正版软件,规避未知风险。(强烈建议)
安全漏洞:
几乎绝大多数客户端工具,在访问数据库时,都可以通过脚本进行一定的功能定义,而这些脚本往往就是安全问题的漏洞之一,来历不明的工具是数据库管理大忌,以下列出了常见客户端工具的脚本位置,需要引起注意:
处置建议:
如果
4000
您的数据库已经遭受攻击和数据损失,可以紧急联系云和恩墨的服务团队,我们可以帮助您处理数据修复事宜。云和恩墨的ODU产品,可以在数据丢失后最大限度的恢复数据。
问题症状:
登录数据库时,提示数据库被锁死,黑客提示发送5个比特币可以解锁。
如果从客户端登录,你获得的提示信息示例了能如下:
在数据库的日志中,可能获得的信息如下:
ORA-00604: error occurred at recursive SQL level 1 ORA-20315: 你的数据库已被SQL RUSH Team锁死 发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小写一致) 之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库 Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database. ORA-06512: at "XXX.DBMS_CORE_INTERNAL ", line 27 ORA-06512: at line 2
问题原因:
根据我们收集的信息分析,这个问题的原因是:
如果用户从某些不明来源下载了PL/SQL Developer工具后(尤其是各种绿色版、破解版),这个工具的安装目录存在一个脚本文件AfterConnect.sql,正常安装这个脚本是空文件,但是被注入的文件,该脚本包含了一系列的JOB定义、存储过程和触发器定义。
受感染的AfterConnect.sql脚本开头伪装非常正常的代码:
实质内容却是加密的恶意代码:
程序的开始加入了下面代码:
看到这里真是感觉黑客太阴险了,同时也佩服他们的聪明之处,嗨,总之
做好下面几点吧:
采用正版软件,规避未知风险。(强烈建议)
安全漏洞:
几乎绝大多数客户端工具,在访问数据库时,都可以通过脚本进行一定的功能定义,而这些脚本往往就是安全问题的漏洞之一,来历不明的工具是数据库管理大忌,以下列出了常见客户端工具的脚本位置,需要引起注意:
SQL*Plus: glogin.sql / login.sql TOAD : toad.ini PLSQLdeveloper: login.sql / afterconnect.sql
处置建议:
如果
4000
您的数据库已经遭受攻击和数据损失,可以紧急联系云和恩墨的服务团队,我们可以帮助您处理数据修复事宜。云和恩墨的ODU产品,可以在数据丢失后最大限度的恢复数据。
相关文章推荐
- 【红色警报】近期Oracle数据库遭受比特币勒索攻击原因揭秘和预防
- Wordpress网站遭遇大规模暴力破解攻击之我也躺枪
- 遭遇一次MySQL猜解注入攻击
- 研究人员发现攻击Oracle数据库的新方法
- 揭秘游戏行业遭遇大规模DDoS攻击后的影响和真相丨阿里云河南
- 61个国家的1465台电脑遭遇持续渗透性攻击
- 比特币勒索攻击技术演进与趋势
- [致歉]博客后台的404故障以及主站遭遇的流量攻击
- 最近,WannaCry勒索病毒肆虐全球,不少重要机构和企业的电脑纷纷中招,互联网上再次掀起关于网络安全的讨论。如今互联网技术发展飞速,随之而来的网络安全问题也越来越严重,其中网站遭遇流量攻击是比较突出
- WordPress — 性能瓶颈,遭遇攻击
- [故障公告]14:39-15:39博客站点部分负载均衡遭遇3次20G以上的流量攻击
- 宾夕法尼亚州推动比特币合法化遭遇…
- 精通比特币 - 第9章 区块链分叉、矿池、共识攻击
- 'Shadow Brokers' 组织100万比特币(5.68亿美元)叫卖美国军方网络攻击工具
- 【国际】新加坡比特币企业遭遇银行账户关闭
- 什么是比特币51%攻击
- 遭遇网页挂马(再续)-- 监测到攻击方法了!
- [故障公告]博客站点遭遇超过20G的流量攻击被阿里云屏蔽
- 如何避免比特币等数字货币平台被攻击?极验已有成熟解决方案
- 局域网遭遇ARP欺骗攻击的解决方法