Oracle被植入病毒?很多人都会觉得不可思议,但是我说这是真实的,且还在不断发生。
一、病毒来源
1、技术小白从不明所以的网盘下载的Oracle安装gho安装镜像包;
2、运维工程师从某个论坛小站下载的PLSQL安装包安装在客户电脑上并运行。
二、病毒发作
即便因为安装了携带病毒的Oracle版本,或使用了携带病毒的PLSQL,病毒也不会从一开始就发作。而是等待数据库运行超过372天(差不多1年后)数据量超过一定值了,直接触发病毒的删库脚本,并生成SYS.LOG记录表,等待勒索客户交赎金。
三、病毒排查
- 查找PLSQL和安装的Oracle数据库是否有植入病毒
1、plsql软件目录下的login.sql文件和afterconnect.sql脚本下是否有危险的运行脚本,如果有清空文件里面的所有内容。
2、使用DBA用户登录Plsql,执行一下这个脚本:
select 'DROP TRIGGER' ||owner|| '."'||TRIGGER_NAME||'";' from dba_triggers where TRIGGER_NAME like 'DBMS_%_INTERNAL% '
union all
Select 'DROP PROCEDURE' ||owner||'."'||a.object_name||'";' from dba_procedures a where a.object_name like 'DBMS_%_INTERNAL% ';
脚本执行后,如果有记录,立即上报公司领导或客户。