Oracle 數據庫勒索病毒 RushQL 處理辦法

時間 2019-12-07

標籤 oracle 數據庫勒索病毒 rushql 處理辦法欄目 Oracle 简体版

原文原文鏈接

Oracle 數據庫勒索病毒 RushQL 處理辦法數據庫

辦法來自Oracle 官方：安全

https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4oracle

因爲現將Oracle 數據庫勒索病毒 RushQL 安全預警下發給各部門，我公司高度關注這次事件的預警，排查是否有涉及，作好相關工做。blog

預警名稱：Oracle 數據庫勒索病毒 RushQL 安全預警事件

風險等級：高
影響範圍：im

工做人員使用破解版的 PL/SQL 套件鏈接過的 Oracle 數據庫都有可能感染該病毒。數據

自查方案存儲過程

若是數據庫中存在如下四個存儲過程和三個觸發器，則說明已經感染此病毒:img

存儲過程tab

1. DBMS_SUPPORT_INTERNAL

2. DBMS_STANDARD_FUN9

3. DBMS_SYSTEM_INTERNA

4. DBMS_CORE_INTERNAL

觸發器

5. DBMS_SUPPORT_INTERNAL

6. DBMS_ SYSTEM _INTERNAL

7. DBMS_ CORE _INTERNAL

處置建議：

根據數據庫所知足的不一樣條件，處置建議有所區別，以下：

知足條件：

（當前日期 - 數據庫建立日期 > 1200 天）且（當前日期 – 數據表（不含SYSTEM, SYSAUX, EXAMPLE）的最小分析日期 <= 1200 天）：

處置方案

1. 刪除4個存儲過程和3個觸發器

2. 使用備份把表恢復到truncate以前

3. 使用ORACHK開頭的表恢復tab$

4. 使用DUL恢復（不必定能恢復全部的表，如truncate的空間已被使用）

觸發器知足條件：

（當前日期 - 數據庫建立日期 > 1200 天）且（當前日期 – 數據表（不含SYSTEM, SYSAUX, EXAMPLE）的最小分析日期 > 1200 天）：

處置方案

1. 刪除4個存儲過程和3個觸發器

2. 使用備份把表恢復到truncate以前

3. 使用DUL恢復（不必定能恢復全部的表，如truncate的空間已被使用）

不知足以上條件的數據庫直接刪除四個存儲過程和三個觸發器

檢查：

SELECT *
FROM ALL_PROCEDURES
WHERE PROCEDURE_NAME LIKE '%DBMS%';

SELECT *
FROM ALL_PROCEDURES
WHERE PROCEDURE_NAME IN ('DBMS_SUPPORT_INTERNAL',
'DBMS_STANDARD_FUN9',
'DBMS_SYSTEM_INTERNA',
'DBMS_CORE_INTERNAL');

SELECT * FROM ALL_TRIGGERS WHERE TRIGGER_NAME LIKE '%DBMS%';

SELECT * FROM ALL_TRIGGERS WHERE TRIGGER_NAME IN ('DBMS_SUPPORT_INTERNAL','DBMS_ SYSTEM _INTERNAL','DBMS_ CORE _INTERNAL') ;

經檢查，無相似勒索病毒，若是有，具體處理方式參照官方論壇：

https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4