恶意破坏的Oracle数据库恢复案例分享-惜分飞.PDF

被恶意破坏的Oracle数据库 恢复案例分享 演讲人：程飞(惜分飞) oracle ace blog ： 1.plsql dev软件比特币勒索 2.文件系统加密比特币勒索 3.Oracle软件注入恶意脚本 4.恶意dd磁盘头导致asm异常 5.Oracle数据文件等被rm删除 主办：CESOUG 甲骨文（中国）软件系统有限公司 北京中亦安图科技股份有限公司 plsql dev软件比特币勒索—报错信息 在alert 日志中如下提示 ORA-20313: 你的数据库已被SQL RUSH Team锁死 发送5个比特币到这个地 址166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (大小写一致) 之后把你的 Oracle SID邮寄地址sqlrush@ 我们将让你知道如何解锁你的数据 库 Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE (case sensitive), after that send your Oracle SID to mail address sqlrush@, we will let you know how to unlock your database. 2017首届ORACLE 欢乐颂技术大会 主办：CESOUG 甲骨文（中国）软件系统有限公司 北京中亦安图科技股份有限公司 plsql dev软件比特币勒索—实现过程 1. 下载含恶意脚本的plsql dev工具—(相传自出来源csdn) 2. 该plsql dev 中含有AfterConnect.sql文件 3. 使用该工具连接数据库之后创建相关存储过程和触发器 4. 根据条件，对数据库进行不同层面的破坏(DELETE tab$, TRUNCATE tab_name)和警告 2017首届ORACLE 欢乐颂技术大会 主办：CESOUG 甲骨文（中国）软件系统有限公司 北京中亦安图科技股份有限公司 plsql dev软件比特币勒索—AfterConnect.sql解析 脚本使用wrapped加密，主要包含4个存储过程，3个触发器 create or replace procedure DBMS_SUPPORT_INTERNAL “ CREATE OR REPLACE procedure DBMS_SYSTEM_INTERNAL “ create or replace procedure DBMS_STANDARD_FUN9 create or replace procedure DBMS_CORE_INTERNAL “ create or replace trigger DBMS_SUPPORT_INTERNAL “ after startup on database CREATE OR REPLACE TRIGGER DBMS_SYSTEM_INTERNAL “ AFTER LOGON ON DATABASE CREATE OR REPLACE TRIGGER DBMS_CORE_INTERNAL “ AFTER LOGON ON SCHEMA 2017首届ORACLE 欢乐颂技术大会 主办：CESOUG 甲骨文（中国）软件系统有限公司 北京