概述

近期，國內發生多起針對Oracle 數據庫的勒索病毒案例，通過分析，該勒索病毒通過網絡流傳的“PL/SQL Developer破解版”進行傳播；運維人員一旦使用帶有病毒的“PL/SQLDeveloper破解版”連接Oracle數據，工具立即觸發病毒文件在系統建立一系列的存儲過程，判斷數據庫創建時間是否大於1200天，如大於等於1200天則使用truncate清空數據庫。所以，該病毒在感染Oracle數據庫後不會立即觸發，具有較長的潛伏期。當用戶訪問被感染數據庫時，將提示以下勒索信息：

自查方法

在Oracle Server端檢查是否有下面幾個對象：

或使用如下查詢語句：

select 'DROP TRIGGER '||owner||'."'||TRIGGER_NAME||'";' from dba_triggers where
TRIGGER_NAME like 'DBMS_%_INTERNAL%'
union all
select 'DROP PROCEDURE '||owner||'."'||a.object_name||'";' from dba_procedures a
where a.object_name like 'DBMS_%_INTERNAL% ';

請注意：% '之間的空格。

執行上述語句後，若為空，表示你的ORACLE數據庫是安全的，未中勒索病毒。

檢查自動執行腳本

檢查PLSQL DEV安裝目錄，查找afterconnect.sql和login.sql文件。

其中afterconnect.sql文件默認是空白， 大小應是0字節，login.sql打開後只有一句註釋“- -Autostart Command Window>

建議：

本次Oracle數據庫的勒索問題，希望大家能提高日常運維安全意識，做好數據安全防範工作，數據要實時備份並且做好可用性測試。為了不被勒索，建議如下：

1、採用正版軟件，規避未知風險。用戶檢查數據庫工具的使用情況，避免使用來歷不明的工具產品。

2、用戶加強數據庫的權限管控、生產環境和測試環境隔離，嚴格管控開發和運維工具。

3、定期進行信息安全風險評估。由信息安全管理責任部門定期組織信息安全風險評估，將風險評估工作規範化、例行化。

PS：後面會分享更多關於DBA方面的內容，感興趣的朋友可以關注下！！

閱讀更多 波波說運維 的文章

關鍵字: 軟件 SQL 腳本語言