Oracle 資料庫勒索病毒 RushQL 處理辦法
阿新 • • 發佈:2018-12-10
Oracle 資料庫勒索病毒 RushQL 處理辦法
辦法來自Oracle 官方:
https://blogs.oracle.com/cnsupport_news/對資料庫的“比特幣攻擊”及防護
由於現將Oracle 資料庫勒索病毒 RushQL 安全預警下發給各部門,我公司高度關注此次事件的預警,排查是否有涉及,做好相關工作。
預警名稱 :Oracle 資料庫勒索病毒 RushQL 安全預警
風險等級 :高
影響範圍 :工作人員使用破解版的 PL/SQL 套件連線過的 Oracle 資料庫都有可能感染該病毒。
自查方案:
如果資料庫中存在以下四個儲存過程和三個觸發器,則說明已經感染此病毒:
儲存過程:
DBMS_SUPPORT_INTERNAL
DBMS_STANDARD_FUN9
DBMS_SYSTEM_INTERNA
DBMS_CORE_INTERNAL
觸發器:
DBMS_SUPPORT_INTERNAL
DBMS_ SYSTEM _INTERNAL
DBMS_ CORE _INTERNAL
處置建議 :
根據資料庫所滿足的不同條件,處置建議有所區別,如下:
滿足條件:
(當前日期 - 資料庫建立日期 > 1200 天) 且 (當前日期 – 資料表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 <= 1200 天):
處置方案
刪除4個儲存過程和3個觸發器
使用備份把表恢復到truncate之前
使用ORACHK開頭的表恢復tab$
使用DUL恢復(不一定能恢復所有的表,如truncate的空間已被使用)
觸發器滿足條件:
(當前日期 - 資料庫建立日期 > 1200 天) 且 (當前日期 – 資料表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 > 1200 天):
處置方案
刪除4個儲存過程和3個觸發器
使用備份把表恢復到truncate之前
使用DUL恢復(不一定能恢復所有的表,如truncate的空間已被使用)
不滿足以上條件的資料庫直接刪除四個儲存過程和三個觸發器
檢查:
SELECT *
FROM ALL_PROCEDURES
WHERE PROCEDURE_NAME LIKE '%DBMS%';
SELECT *
FROM ALL_PROCEDURES
WHERE PROCEDURE_NAME IN ('DBMS_SUPPORT_INTERNAL',
'DBMS_STANDARD_FUN9',
'DBMS_SYSTEM_INTERNA',
'DBMS_CORE_INTERNAL');
SELECT * FROM ALL_TRIGGERS WHERE TRIGGER_NAME LIKE '%DBMS%';
SELECT *
FROM ALL_TRIGGERS
WHERE TRIGGER_NAME IN ('DBMS_SUPPORT_INTERNAL',
'DBMS_ SYSTEM _INTERNAL',
'DBMS_ CORE _INTERNAL') ;
經檢查,無類似勒索病毒;
如果有,具體處理方式參照官方論壇:
https://blogs.oracle.com/cnsupport_news/對資料庫的“比特幣攻擊”及防護