Oracle 資料庫勒索病毒 RushQL 處理辦法
處理辦法來自Oracle 官方:
https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4
由於現將Oracle 資料庫勒索病毒 RushQL 安全預警下發給各部門,我公司高度關注此次事件的預警,排查是否有涉及,做好相關工作。
預警名稱 :Oracle 資料庫勒索病毒 RushQL 安全預警
風險等級 :高
影響範圍 :
工作人員使用破解版的 PL/SQL 套件連線過的 Oracle 資料庫都有可能感染該病毒。
自查方案
如果資料庫中存在以下四個儲存過程和三個觸發器,則說明已經感染此病毒:
儲存過程
1. DBMS_SUPPORT_INTERNAL
2. DBMS_STANDARD_FUN9
3. DBMS_SYSTEM_INTERNA
4. DBMS_CORE_INTERNAL
觸發器
5. DBMS_SUPPORT_INTERNAL
6. DBMS_ SYSTEM _INTERNAL
7. DBMS_ CORE _INTERNAL
處置建議 :
根據資料庫所滿足的不同條件,處置建議有所區別,如下:
滿足條件:
(當前日期 - 資料庫建立日期 > 1200 天) 且 (當前日期 – 資料表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 <= 1200 天):
處置方案
1. 刪除4個儲存過程和3個觸發器
2. 使用備份把表恢復到truncate之前
3. 使用ORACHK開頭的表恢復tab$
4. 使用DUL恢復(不一定能恢復所有的表,如truncate的空間已被使用)
觸發器滿足條件:
(當前日期 - 資料庫建立日期 > 1200 天) 且 (當前日期 – 資料表(不含SYSTEM, SYSAUX, EXAMPLE)的最小分析日期 > 1200 天):
處置方案
1. 刪除4個儲存過程和3個觸發器
2. 使用備份把表恢復到truncate之前
3. 使用DUL恢復(不一定能恢復所有的表,如truncate的空間已被使用)
不滿足以上條件的資料庫直接刪除四個儲存過程和三個觸發器
檢查:
SELECT *
FROM ALL_PROCEDURES
WHERE PROCEDURE_NAME LIKE '%DBMS%';
SELECT *
FROM ALL_PROCEDURES
WHERE PROCEDURE_NAME IN ('DBMS_SUPPORT_INTERNAL',
'DBMS_STANDARD_FUN9',
'DBMS_SYSTEM_INTERNA',
'DBMS_CORE_INTERNAL')
SELECT * FROM ALL_TRIGGERS WHERE TRIGGER_NAME LIKE '%DBMS%'
SELECT * FROM ALL_TRIGGERS WHERE TRIGGER_NAME IN ('DBMS_SUPPORT_INTERNAL','DBMS_ SYSTEM _INTERNAL','DBMS_ CORE _INTERNAL')
經檢查,無類似勒索病毒,如果有,處理方式參照論壇:
https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4