Oracle PL/SQL Dev工具(破解版)被植入勒索病毒的安全预警及自查通告
2017-12-14 16:45
471 查看
Oracle PL/SQL Dev工具(破解版)被植入勒索病毒的安全预警及自查通告
【问题描述】
近日,有项目组遇到了勒索软件攻击:勒索代码隐藏在Oracle PL/SQL Dev软件中(网上下载的破解版),里面的一个文件afterconnet.sql被黑客注入了病毒代码。这个代码会在用户连接数据库后立即执行,如果用户的账号拥有dba权限,它会在用户的数据库中创建多个存储过程和触发器,会阻止用户连接数据库。当用户重启动后,会触发病毒触发器,加密并删除sys.tab$,导致用户无法访问数据库中所有的schema, 出现“你的数据库已经被SQL RUSH team锁死,请发送5个比特币到xxxxxxxxxxx地址,….”等信息,并设置定时任务,如果在期限内不交赎金,就truncate所有的表。病毒发作危害极大,而且原厂和相关的安全厂商都很难恢复。
这个病毒为了增加破坏效果,加强隐蔽性,只有当数据库创建时间超过1200天才会爆发,有很长的潜伏期。
【检查处置】
1、在Oracle Server端检查是否有下面几个对象:
参考SQL:
select * from dba_objects where object_name like ‘%INTERNAL%’;
2、检查PLSQL DEV安装目录,查找afterconnect.sql和login.sql文件。
其中afterconnect.sql的大小应该是0字节,login.sql打开后只有一句注释“- -Autostart Command Window script ”,如果这两个文件里有其他内容,应怀疑是病毒。
发现数据库中有病毒代码,需要立即清除,不要重启动数据库。
【问题描述】
近日,有项目组遇到了勒索软件攻击:勒索代码隐藏在Oracle PL/SQL Dev软件中(网上下载的破解版),里面的一个文件afterconnet.sql被黑客注入了病毒代码。这个代码会在用户连接数据库后立即执行,如果用户的账号拥有dba权限,它会在用户的数据库中创建多个存储过程和触发器,会阻止用户连接数据库。当用户重启动后,会触发病毒触发器,加密并删除sys.tab$,导致用户无法访问数据库中所有的schema, 出现“你的数据库已经被SQL RUSH team锁死,请发送5个比特币到xxxxxxxxxxx地址,….”等信息,并设置定时任务,如果在期限内不交赎金,就truncate所有的表。病毒发作危害极大,而且原厂和相关的安全厂商都很难恢复。
这个病毒为了增加破坏效果,加强隐蔽性,只有当数据库创建时间超过1200天才会爆发,有很长的潜伏期。
【检查处置】
1、在Oracle Server端检查是否有下面几个对象:
Object_name | Obeject_type |
DBMS_SUPPORT_INTERNAL | TRIGGER |
DBMS_SUPPORT_INTERNAL | PROCEDURE |
DBMS_SYSTEM_INTERNAL | TRIGGER |
DBMS_CORE_INTERNAL | TRIGGER |
DBMS_SYSTEM_INTERNAL | PROCEDURE |
DBMS_CORE_INTERNAL | PROCEDURE |
DBMS_STANDARD_FUN9 | PROCEDURE |
select * from dba_objects where object_name like ‘%INTERNAL%’;
2、检查PLSQL DEV安装目录,查找afterconnect.sql和login.sql文件。
其中afterconnect.sql的大小应该是0字节,login.sql打开后只有一句注释“- -Autostart Command Window script ”,如果这两个文件里有其他内容,应怀疑是病毒。
发现数据库中有病毒代码,需要立即清除,不要重启动数据库。
相关文章推荐
- Oracle PL/SQL Dev工具(破解版)被植入勒索病毒的安全预警及自查通告
- PL/SQL DEV和TOAD等工具访问本机64位oracle的问题
- Oracle- PL/SQL DEV工具的使用收集
- Oracle的绿色客户端工具,支持ODBC和PL_SQL
- oracle instant client安装 用于PL/SQL Dev
- 向oracle中导入数据(利用pl/sql工具)
- 在pl/sql中使用exp/imp工具实现oracle数据导出/导入
- Oracle客户端工具配置【Navicat、PL/SQL Developer】
- PL/SQL DEV远程连接oracle
- 一些零碎的知识(linq,lambda,oracle管理工具,pl/sql,oracle管理工具)
- Oracle常用SQL语句(PL/SQL developer工具下的)
- 如何使用PL/SQL工具将excel中数据导入oracle库
- 登录ORACLE客户端工具为 PL/SQL DEVELOPER
- 在pl/sql中使用exp/imp工具实现oracle数据导出/导入
- 在pl/sql中使用exp/imp工具实现oracle数据导出/导入
- oracle instant client安装 用于PL/SQL Dev
- 在pl/sql中使用exp/imp工具实现oracle数据导出/导入
- oracle 数据库的管理工具 PL/SQL_Developer 的简易使用 与Java 连接并查询显示出数据
- oracle 第三方管理工具PL/SQL的注册码
- 开发工具:Oracle SQL Developer与PL/SQL Developer