Oracle 数据库勒索病毒 RushQL 处理办法
处理办法来自Oracle 官方: https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4 由于现将Oracle 数据库勒索病毒 RushQL 安全预警下发给各部门,我公司高度关注此次事件的预警,排查是否有涉及,做好相关工作。 预警名称 :Oracle 数据库勒索病毒 RushQL 安全预警 风险等级 :高影响范围 : 工作人员使用破解版的 PL/SQL 套件连接过的 Oracle 数据库都有可能感染该病毒。 自查方案 如果数据库中存在以下四个存储过程和三个触发器,则说明已经感染此病毒: 存储过程 1. DBMS_SUPPORT_INTERNAL 2. DBMS_STANDARD_FUN9 3. DBMS_SYSTEM_INTERNA 4. DBMS_CORE_INTERNAL 触发器 5. DBMS_SUPPORT_INTERNAL 6. DBMS_ SYSTEM _INTERNAL 7. DBMS_ CORE _INTERNAL 处置建议 : 根据数据库所满足的不同条件,处置建议有所区别,如下: ?满足条件: (当前日期 - 数据库创建日期 > 1200 天) 且 (当前日期 – 数据表(不含SYSTEM,SYSAUX,EXAMPLE)的最小分析日期 <= 1200 天): ?处置方案 1. 删除4个存储过程和3个触发器 2. 使用备份把表恢复到truncate之前 3. 使用ORACHK开头的表恢复tab$ 4. 使用DUL恢复(不一定能恢复所有的表,如truncate的空间已被使用) 触发器满足条件: (当前日期 - 数据库创建日期 > 1200 天) 且 (当前日期 – 数据表(不含SYSTEM,EXAMPLE)的最小分析日期 > 1200 天): 处置方案 1. 删除4个存储过程和3个触发器 2. 使用备份把表恢复到truncate之前 3. 使用DUL恢复(不一定能恢复所有的表,如truncate的空间已被使用) 不满足以上条件的数据库直接删除四个存储过程和三个触发器 检查: SELECT *FROM ALL_PROCEDURESWHERE PROCEDURE_NAME LIKE '%DBMS%'; SELECT *FROM ALL_PROCEDURESWHERE PROCEDURE_NAME IN ('DBMS_SUPPORT_INTERNAL','DBMS_STANDARD_FUN9','DBMS_SYSTEM_INTERNA','DBMS_CORE_INTERNAL'); SELECT * FROM ALL_TRIGGERS WHERE TRIGGER_NAME LIKE '%DBMS%';SELECT * FROM ALL_TRIGGERS WHERE TRIGGER_NAME IN ('DBMS_SUPPORT_INTERNAL','DBMS_ SYSTEM _INTERNAL','DBMS_ CORE _INTERNAL') ; ?经检查,无类似勒索病毒,如果有,具体处理方式参照官方论坛: https://blogs.oracle.com/cnsupport_news/%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%BA%93%E7%9A%84%E2%80%9C%E6%AF%94%E7%89%B9%E5%B8%81%E6%94%BB%E5%87%BB%E2%80%9D%E5%8F%8A%E9%98%B2%E6%8A%A4 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |