数据库勒索病毒故障处理

最新推荐文章于 2024-05-08 14:55:55 发布
最新推荐文章于 2024-05-08 14:55:55 发布
阅读量722 收藏 1
点赞数
分类专栏: ORACLE 故障处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014237598/article/details/100558842
版权

问题描述:

2017-10-18 13:41:52应用反馈测试库连不上。

排查思路:

1,远程登录测试数据库服务器,sqlplus连接数据库,发现报错:

ORA-00604: error occurred at recursive SQL level 1

ORA-00018: maximum number of sessions exceeded

数据库连接数满了,这个库连接数是1000个,正常情况下还是有很空余的连接。肯定是有非正常连接导致。(这里怀疑是应用程序连接池设置太大没回收导致)

lsnrctl stop 停用监听。

通过ps -ef|grep LOCAL=NO查出不是本地连接的连接进程编号。

批量kill -9查询到的进程编号,释放部分空闲连接,

Sqlplus / as sysdba连接到数据库。

通过SQL>select count(*),program,machine from v$session group by program,machine order by 1 asc;查出连接数最多的程序,让开发重启程序。

重启之后,过一会发现连接还是进程数满,这时怀疑应该是其他问题,进一步检查连接的程序发现如下问题:

库中竟然有168个job进程在运行,这个似乎不合常理,这个时候怀疑是否是job异常或者job的bug造成的。

查看库中可并行执行job的个数:

SQL>show parameter job_queue_processes

NAME                                 TYPE        VALUE

------------------------------------ ----------- ------------------------------

job_queue_processes                  integer     1000

修改成为20,看库是否正常:

SQL>alter system set job_queue_processes=20 scope=both;

重启数据库,释放部分连接:

SQL>shutdown abort; --这里最好不要用immediate;

SQL>startup mount;

SQL>alter database open;

这个时候查询会话数,只有100多是正常范围。

打开监听,用plsqldev测试能否正常连接

lsnrctl start

这时用客户端plsql dev工具连接,登陆数据库。发现连接无响应,plsql dev卡死。

客户端tnsping  Ip地址/orcl返回正常

远程连接到服务器,

服务端sqlplus / as sysdba --正常

切换应用账号conn syerp/*** --卡死

3,这时肯定是其他问题造成的,检查alert日志,查看是否有明显报错:

结合以前的经验发现,这个报错应该和盗版软件携带病毒有关。

解决办法:

手解决问题:

A,修改job_queue_process为0,禁止job的运行。

SQL>alter system set job_queue_process=0 scope=both ;

B,重启数据库

SQL>shutdowm abort;

SQL>startup mount;

SQL>alter database open;

C,找到最近新建的对象

Select *  from dba_objects  where  to_char(created,’yyyymmdd’)=’20171018’;

D,删除这些对象

drop trigger syerp."DBMS_CORE_INTERNAL         " ;

drop trigger syerp."DBMS_SUPPORT_INTERNAL         " ;

drop trigger syerp."DBMS_SYSTEM_INTERNAL         " ;

drop PROCEDURE syerp."DBMS_CORE_INTERNAL         " ;

drop PROCEDURE syerp."DBMS_SUPPORT_INTERNAL         " ;

drop PROCEDURE syerp."DBMS_SYSTEM_INTERNAL         " ;

drop PROCEDURE syerp."DBMS_STANDARD_FUN9         " ;

F,删除创建的大量JOB:

select count(*) from  dba_jobs

where schema_user='SYERP'

 and what  like 'DBMS_STANDARD_FUN9(%';

结果大概有8W多个。

分批批量删除:

select 'exec dbms_job.remove('||job||');' 

from dba_jobs

where schema_user='SYERP'

 and what  like 'DBMS_STANDARD_FUN9(%' and rownum<5000;

E,确认被job truncate的表:

select * from dba_objects

where to_char(last_ddl_Time,'yyyymmdd')='20171018' and owner='SYERP'

还好并没有表被清理。

F,测试连接,一切正常

G,开启job数:

H:检查alert日志是否正常:

后续:

通过数据库的listener日志,检查在12:07左右有哪些人用plsql dev工具连接数据库。发现如下:(数据库没有开审计,只能从监听日志排查)

通过和该同事沟通,发现确实是使用不良的软件导致:

清风果果果
关注
专栏目录
windows系统中毒,sql server数据库文件恢复抢救和OA程序文件恢复.
wnagshuihua的博客
12-19 1526
背景: 客户是地产行业客户,腾讯云服务器主要部署致远OA和sql server数据库,由于内部IT薄弱,没有做好安全防护,导致服务器被病毒入侵。 问题回顾: 1:服务器遭受勒索病毒攻击,导致服务器OA文件和数据库文件被锁,OA网站无法打开,数据库表无法读取。 2:业务瘫痪期间,企业无法展开工作,对企业造成无法想象后果 数据库文件一旦无法找回,整个部门甚至公司将因此停摆 3:同时D盘被勒索病毒加密,被加密文件无法使用 4:客户没有做任何备份措施,听到这个情况时,对此次事件不容乐观。 5:此情况下
一卡通综合管理平台中了后缀.[mr.hacker@tutanota.com]的勒索病毒加密的数据库怎么用达思SQL数据库修复软件完美修复?
weixin_42442146的博客
08-13 3108
用达思SQL数据库修复软件怎么修复中了后缀.[mr.hacker@tutanota.com]的勒索病毒加密的数据库?(一卡通综合管理平台) 2.33GB的sql数据库被后缀.[mr.hacker@tutanota.com]加密 最近几天有一个一卡通综合管理平台的数据库勒索病毒加密了,因为整个服务器只有sql数据库是重要的,而且客户拒绝向勒索病毒的黑客缴纳赎金,客户联系达思科...
数据库中了勒索病毒怎么办?(数据库恢复的终极大招DUL)
xiaofan23z的专栏
04-09 1830
数据库如何预防勒索病毒 接上文,如果数据库中了勒索病毒,并且备份也同样被攻陷,那该怎么办?以最为常见的Lockbit3.0为例,LockBit采用先进的加密算法,通常是对称密钥加密和非对称密钥加密的组合。这使得被感染的系统中的文件无法被正常访问,想破解几乎是不可能的。只能支付赎金来获取解密工具来解密!如果你的数据库勒索病毒加密,又不想缴纳昂贵的赎金?如何最大限度的恢复数据呢?这里就会使用到oracle数据恢复的最终大招了DUL(Data Unloader)!DUL是Data Unloader的缩写,Or
数据库勒索病毒修复程序
czlwkj的专栏
02-16 1524
https://pan.baidu.com/s/1vznY4wNgAfz0BSSCQfozvQ
数据库中了勒索病毒,怎么办?
weixin_34249367的博客
05-21 1375
一、SQL Server SQL Server 是一个关系数据库管理系统。它最初是由Microsoft Sybase 和Ashton-Tate三家公司共同开发的,于1988 年推出了第一个OS/2 版本。在Windows NT 推出后,Microsoft与Sybase 在SQL Server 的开发上就分道扬镳了,Microsoft 将SQL Server 移植到Windows NT系统上,专注于...
勒索病毒处置流程
qq_32390591的博客
05-06 1816
作为安全服务人员,勒索病毒预防和排查一直是重中之重,相对于僵木蠕、敏感性信息泄露等威胁事件,勒索病毒会给企业带来直观的经济损失,虽然现在国家已经释放需要保险来兜底,安全厂家也在联合保险公司来为勒索做兜底服务,但是据了解门槛都不低。目前接触过的好像也就比较好入门,只需要购买相关产品和服务就可以投保,不需要复杂的评估和考核。
使用达思sql数据库修复软件修复中了勒索病毒加密的数据库教程
08-14
要使用达思SQL数据库修复软件修复中了勒索病毒加密的数据库,可以按照下面的步骤进行操作: 1. 首先,确保已经安装了达思SQL数据库修复软件,并且软件是最新版本。 2. 打开达思SQL数据库修复软件,选择“修复...
管家婆数据库极佳SQL数据库修复
06-12
扫描勒索病毒数据库及 损坏严重的数据库 请选择 标准恢复模式 如果发现有表应该有数据但是标准恢复模式没有扫描到 或表数据乱码 或表记录很少 可以用高级恢复模式尝试。 如果两种恢复模式都看不到本应该有数据的...
数据库双活容灾和读写分离典型方案
08-27
7. 有效的容灾策略:对于勒索病毒等安全威胁,双活架构能够提供有效的应对措施。当一个节点受到攻击时,系统可以迅速隔离问题节点,同时保持另一个节点的正常运行,从而最大程度减少攻击造成的影响。 8. 简单日志...
一次对RushQL勒索病毒处理记录
weixin_38467835的博客
04-21 1159
近日,检测到公司的一台数据库服务器中出现了RushQL病毒,进行处理后目前可正常使用该数据库,将中毒原因和处理过程记录如下: 一、RushQL病毒简介 RushQL专门针对Oracle数据库设计、具备一定潜伏期和隐蔽性的勒索病毒,该病毒是由“SQL RUSH Team”组织发起,最早于2016年11月出现,其主要感染方式是将破解版或绿色版的PL/SQL中的login.sql和Afterconnec...
数据库如何预防勒索病毒
xiaofan23z的专栏
04-08 1095
援引cyberint发布的Ransomware Recap 2023,全球勒索软件攻击次数较去年大幅增长达到4832起,相较于2022年的2640起,增长幅度惊人。这一增长不仅体现在数量上,更体现在攻击的全球性和蔓延趋势上。今年,服务行业、IT行业和制造业成为勒索攻击的主要目标,这些行业的数据丰富性和重要性使其成为攻击者的首选。而在国内,制造业、科技和医疗行业受勒索病毒影响最为严重,这与其业务连续性和系统可用性的高要求密切相关。
server2008 mysql数据库病毒_sql server 2008 数据库可疑的解决步骤
weixin_29643235的博客
02-06 301
没有使用微软提供的代码管理工具,在使用百度云进行同步,出现了 数据库可疑 在网上搜索文章,经测试恢复成功,这种方法同样适用于2005,操作如下: -------------------------备份并新建同名数据库,并替换原数据文件----------------------------- 1 把问题数没有使用微软提供的代码管理工具,在使用百度云进行同步,出现了"数据库可疑"在网上搜索文章,经测...
mysql数据库勒索_记一次mysql数据库勒索(下)
weixin_39716417的博客
01-28 512
背景:nextcloud的mysql数据库被黑,删库勒索。参考:记一次mysql数据库勒索(上)mysql数据库恢复成功,nextcloud还是无法连接。参考:记一次mysql数据库勒索(中)正文:经过一番研究,发现nextcloud在第一次数据库配置成功后,会创建一个oc_root的帐号,之后就会使用oc_root帐号来连接数据库。而oc_root的密码,并不是在配置的时候设置的管理员roo...
数据库被黑,勒索
艾斯博弈
05-25 800
数据库被黑之后 1.删除木马程序 2.修改登录密码 3.修改数据库密码
震惊,我的数据库勒索了!
最新发布
一个成长中的程序员,期待用技术的眼光生活
05-08 618
分享数据库勒索经历
【参与有奖】您用的MySQL、MongoDB、Redis等服务被勒索过吗?
weixin_33918357的博客
07-19 121
2016年底至2017年初,互联网爆发了针对MongoDB的勒索事件,国内外新闻都有大范围的报道。黑客利用了Mongodb未授权访问漏洞,批量的对可操作的数据库进行了“删库”操作,并留下自己的联系方式,以此要挟用户使用比特币支付赎金换回数据。 MongoDB数据库数据被勒索 Redis数据库被删除 相关报道如下:http://w...
error occurred at recursive SQL level 1
weixin_34414650的博客
07-08 423
ORA-00604: error occurred at recursive SQL level 1出现的错误:java.sql.SQLException: ORA-00604: error occurred at recursive SQL level 1 ORA-12705: Cannot access NLS data files or invalid environment specifi...
自己数据库被攻击还被勒索了全过程
俩科的博客
10-26 8300
事情经过 今天点开自己搭建的数据库,想着写点sql去练习一下,通过docker去搭建的,方法链接: docker 安装以及使用docker安装mysql. 然后发生了这个事情1130主机“xx.xx.x.x”不允许连接到此MYSQL服务器 我进入自己的服务器里面,进入容器查看,发现mysql在运行,但是远程打不开了,然后我百度了一下原因,原因如下: 先说说这个错误,其实就是我们的MySQL不允许远程登录,所以远程登录失败了,解决方法如下: 在装有MySQL的机器上登录MySQL mysql -u roo
SQLServer数据库mdf文件中了勒索病毒Artemis666,扩展名变为mdf.Artemis666
xinyu0203的博客
07-31 1119
SQL Server数据库mdf文件中了勒索病毒Artemis666,扩展名变为mdf.Artemis666,导致公司金蝶,用友财务ERP软件不能使用。OA软件也不能使用。 常见的扩展名如下: *.mdf.Artemis666 *.ldf.Artemis666 *.mdf.Artemis666 *.ldf.Artemis666 *.mdf.Artemis666 *.ldf.Artemis666 ...
SQL数据库勒索病毒检测与恢复完整度分析工具
资源摘要信息:"勒索病毒检测工具 sql数据库勒索病毒检测完整度 数据库勒索病毒加密检测完整度" 勒索病毒检测工具是IT安全领域中的重要工具之一,它的出现是为了帮助企业和个人检测并应对因勒索病毒导致的数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值