- 1、本文档共40页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
恶意破坏的Oracle数据库恢复案例分享-惜分飞
被恶意破坏的Oracle数据库
恢复案例分享
演讲人:程飞(惜分飞)
oracle ace
blog :
1.plsql dev软件比特币勒索
2.文件系统加密比特币勒索
3.Oracle软件注入恶意脚本
4.恶意dd磁盘头导致asm异常
5.Oracle数据文件等被rm删除
主办:CESOUG 甲骨文(中国)软件系统有限公司 北京中亦安图科技股份有限公司
plsql dev软件比特币勒索—报错信息
在alert 日志中如下提示
ORA-20313: 你的数据库已被SQL RUSH Team锁死 发送5个比特币到这个地
址166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致) 之后把你的
Oracle SID邮寄地址sqlrush@ 我们将让你知道如何解锁你的数据
库 Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to
address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (case sensitive), after that
send your Oracle SID to mail address sqlrush@, we will let you know
how to unlock your database.
2017首届ORACLE 欢乐颂技术大会
主办:CESOUG 甲骨文(中国)软件系统有限公司 北京中亦安图科技股份有限公司
plsql dev软件比特币勒索—实现过程
1. 下载含恶意脚本的plsql dev工具—(相传自出来源csdn)
2. 该plsql dev 中含有AfterConnect.sql文件
3. 使用该工具连接数据库之后创建相关存储过程和触发器
4. 根据条件,对数据库进行不同层面的破坏(DELETE tab$,
TRUNCATE tab_name)和警告
2017首届ORACLE 欢乐颂技术大会
主办:CESOUG 甲骨文(中国)软件系统有限公司 北京中亦安图科技股份有限公司
plsql dev软件比特币勒索—AfterConnect.sql解析
脚本使用wrapped加密,主要包含4个存储过程,3个触发器
create or replace procedure DBMS_SUPPORT_INTERNAL “
CREATE OR REPLACE procedure DBMS_SYSTEM_INTERNAL “
create or replace procedure DBMS_STANDARD_FUN9
create or replace procedure DBMS_CORE_INTERNAL “
create or replace trigger DBMS_SUPPORT_INTERNAL “ after startup on database
CREATE OR REPLACE TRIGGER DBMS_SYSTEM_INTERNAL “ AFTER LOGON ON DATABASE
CREATE OR REPLACE TRIGGER DBMS_CORE_INTERNAL “ AFTER LOGON ON SCHEMA
2017首届ORACLE 欢乐颂技术大会
主办:CESOUG 甲骨文(中国)软件系统有限公司 北京
文档评论(1)