oracle tab 被删除,oracle数据库被注入恶意攻击程序导致tab$被删除恢复方案

最新推荐文章于 2022-10-09 12:05:25 发布
最新推荐文章于 2022-10-09 12:05:25 发布
阅读量428 收藏 1
点赞数
文章标签: oracle tab 被删除

by 蔡建良 2019-2-25

经过长时间摸索,参考网上各类文章。今天终于让我成功恢复了oracle的sys.tab$表,并成功打开了数据库。

将此过程记录下来,与大家共享。如有疑问可联系我QQ: 304125648

sys.tab$表的恢复要点如下:

1) Tab$表删除后在行记录头部会标记0x7c,没删除前是0x6c。因此只要将找到所有tab$行记录将第一个字节改为0x6c就成功一大半的。

此处建议在linux中恢复数据。可采用虚拟机来创建oracle环境。

Oracle VM VirtualBox6.0+Centos7+oracle11g

安装涉及问题有:

(1) Xshell 5+Xftp 6组合,用来远程控制linux和传输文件。

(2) oracle 11g for linux bbed - Oracle BBED工具安装

l 将三个文件移到$ORACLE_HOME/rdbms/lib/ 目录下。

l $ mv bbedus.msb $ORACLE_HOME/rdbms/mesg/

l $ cd $ORACLE_HOME/rdbms/lib

l $ make -f $ORACLE_HOME/rdbms/lib/ins_rdbms.mk BBED=$ORACLE_HOME/bin/bbed $ORACLE_HOME/bin/bbed

l 安装成功登陆如下:

[oracle@bys3 ~]$ bbed

Password:            默认密码是:blockedit

l BBED> exit

2) 禁用sys.tab$的索引I_TAB1:

//这样恢复,索引与表存在不一致情况,要禁用sys.tab$的索引I_TAB1.

BBED> assign /x  dba 1,523 offset 4910= 0x3c

BBED> sum apply dba 1,523

BBED> verify dba 1,523

3) 由于Oracle数据库被注入触发器,因此必须禁用数据库的触发器。

所以总结解决办法如下(处理前最好进行备份):

1、 关闭数据库  shutdown immediate

2、 启动数据库到mount状态下  startup mount  执行以下语句

alter system set "_system_trig_enabled"=false scope=both;

4) Tab$表恢复后将SYSTEM01.dbf文件复制到原来的数据目录覆盖原有文件。

5) 重建控制文件。

6) Open数据库。

具体可参考:

白药葫芦
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
删除tab$记录的恢复脚本文件
02-25
删除tab$记录的恢复shell脚本文件,本人亲测可用。环境:Oracle VM VirtualBox6.0+centos7+oracle11g,并成功恢复数据打开数据库
[20190130]删除tab$记录的恢复2.txt
01-30 136
[20190130]删除tab$记录的恢复2.txt --//前面链接写好了脚本,开始测试删除后的恢复.千万不要在生产系统做这样的测试!! --//参考链接:htt...
oracle tab 被删除,tab$被删除 – 专业Oracle数据库恢复,或许是您恢复数据的最后机会@phone:13429648788 - 专业Oracle数据库恢复技术支持...
weixin_31031711的博客
04-02 303
以前在恢复过程中遇到过ORA-00600: internal error code, arguments: [16703], [1403], [28]错误(10g数据库遭遇ORA-600 16703)以为是因为10g版本的tab$记录被删除的原因导致报错和最常见的ORA-00600: internal error code, arguments: [16703], [1403], [20]不完全一...
Oracle恶意代码(300天删除SYS.TAB$表)清除过程记录
jetliu05的博客
10-09 794
恶意代码删除Oracle sys.tab$表处理记录
oracle 恢复tab$,tab$ 恢复 – 提供7*24专业数据库(Oracle,SQL Server,MySQL等)恢复Oracle技术服务@Tel:+86 13429648788 - 惜分飞...
weixin_39525812的博客
04-09 326
在以前多以前发现的tab$被恶意脚本删除的问题(ORA-600 16703故障解析—tab$表被清空,警告:互联网中有oracle介质被注入恶意程序导致—ORA-600 16703),虽然多次强调注意Oracle安装介质安全,但是很不幸,还是大量客户中招.我们这一年多对于tab$的故障进行了大量case处理,拯救了大量客户的核心数据,也积累了一些常见的可能遭遇的错误.主要恢复思路是使用bbed处理...
oracle 恢复tab$,删除tab$恢复1
weixin_39727743的博客
04-09 555
-//网上提到许多删除tab$的案例,主要原因在于没有从官方正规渠道下载oracle版本,还有一些来自工具里面带有一些脚本删除tab$记录.--//首先我并不知道许多人的恢复方法,仅仅简单提到恢复数据字典,我想到既然是删除,反向的操作就是恢复.也就是恢复tab$记录.--//在我开始尝试时,我发现遇到的问题比原来想像的要复杂.tab$是CLUSTER C_OBJ#的一个表.本身cluster ta...
ORA-600_16703 tab$表被清空恢复, 系统表空间system恢复,bbed工具使用.
燕小六的地盘
03-16 939
ORA-16703,tab$表恢复,system表空间恢复
oracle 处理tab,tab$ 删除 – 提供7*24专业数据库(Oracle,SQL Server,MySQL等)恢复Oracle技术服务@Tel:+86 13429648788 - 惜分飞...
weixin_32357285的博客
04-03 274
在以前多以前发现的tab$被恶意脚本删除的问题(ORA-600 16703故障解析—tab$表被清空,警告:互联网中有oracle介质被注入恶意程序导致—ORA-600 16703),虽然多次强调注意Oracle安装介质安全,但是很不幸,还是大量客户中招.我们这一年多对于tab$的故障进行了大量case处理,拯救了大量客户的核心数据,也积累了一些常见的可能遭遇的错误.主要恢复思路是使用bbed处理...
Oracle数据库迁移方案
01-19
1 在数据迁移时,用户首先有权限修改数据库,并且进行表空间创建、删除等权利 例如: select * from dba_tab_privs where grantee='SCOT'; ---查看SCOTT权限(sys用户登录) 显示结果为: select * from dba_role_...
oracle drop table(表)数据恢复方法
12-16
回收站是Oracle提供的一种内置垃圾收集机制,用于保存被删除的对象,以便在需要时能够恢复。因此,如果误删了表,第一步就是查看回收站中的内容,确认表是否还在。这可以通过以下SQL查询实现: ```sql SELECT ...
oracle DBA_TAB_MODIFICATIONS 刷新
07-08
Oracle DBA_TAB_MODIFICATIONS 是一个系统视图,用于跟踪数据库中的表在最近的DML(数据操纵语言)操作后的变化情况。这个视图是数据库性能监控的重要工具,它记录了表的插入、更新和删除等操作的信息。然而,它有...
数据恢复:被注入的软件及 ORA-600 16703 灾难的恢复.docx
01-22
错误表明在尝试初始化bootstrap$(数据库启动所需的SQL集合)时,数据库无法在TAB$中找到ICOL$对象的记录,从而导致了错误16703。 为了解决这个问题,我们需要遵循以下步骤: 1. **分析跟踪文件**:跟踪文件中的...
oracle创建数据库提示ORA-00704,ORA-1092错误的解决办法
weixin_33782386的博客
12-28 359
今天安装Oracle10.2.0.4碰到的错误。新机器先安装10.2.0.1,安装完后先创建数据库后再升级到10.2.0.4.升级过程都没问题,可是在启动数据库就报错。错误如下ORA-01092: ORACLE instance terminated.Disconnection forced解决方法:SolutionTo implement the solution, ...
oracle ORA-01092 ORA-00704 ORA-00600 internal error code,arguments:[16703],[1403],[20],[],[]
wendy_qgh的博客
10-12 3811
oracle 版本 11.2.0.4.0 最近遇到报错,用plsql登录oracle数据库,总是报错ORA-12505 :TNS:监听程序当前无法识别连接描述符中所给出的SID,最初怀疑监听文件没配置好,检查了半天也没结果,用sqlplus也连接步上数据库。 最后用sqlplus / as sysdba,连接数据库,发现无法输入任何命令都报错,最后启动数据库,报错 ORA-01092 ORA-00...
记一次勒索病毒下的Oracle数据恢复
qq_42307172的博客
09-14 993
【先声明,未经本人允许禁止转载抄袭】 分享一次oracle数据库在被勒索病毒加密的情况下是如何最大程度挽救数据的。 春节后,开工前,我们例行检查各项目的系统运行情况时,在某项目的服务器上发现了这样一个文本。 经检查,两台服务器全部遭受到勒索病毒的攻击,应用程序数据库文件及备份数据均被恶意加密。通常,在检查数据库故障的时候,我都会习惯先登陆SQL*PLUS来查看数据库的运行状态,然后再查看告警日志。当调用SQLPLUS命令的时候,发现由于大批量的恶意加密,操作系统的常规应用程序已经无法被调用.
使用bbed直接修改oracle数据文件恢复被delete掉的数据
csqm87956的博客
06-03 180
今天简单写篇有关oracle BBED 与oracle 数据文件block 格式结合起来运用的文章。以更了解数据库的内部的某些东西。一条记录被delete以 后,如何通过直接修改oracle 的数据文件,而直接将数据恢复的方法。...
案发现场:被注入的软件及 ORA-600 16703 灾难的恢复
weixin_34092370的博客
07-30 317
最近帮助一个客户恢复数据库,遇到了如下这个问题。让我们再一次惊醒于数据安全,如果不做好防范,问题总是会来得猝不及防。 客户在尝试启动数据库时,是这样一个 ORA-600 错误映入眼帘,反复重试无法消除问题,历史备份,同样存在问题,客户毫无防范的,陷入一场数据库灾难: SQL*Plus: Release 11.2.0.4.0 Production on...
oracle 恢复tab$,[20190225]删除tab$记录的恢复5.txt
weixin_33539834的博客
04-09 429
[20190225]删除tab$记录的恢复5.txt--//昨天下午看了链接https://blog.csdn.net/Enmotech/article/details/87834503,大概知道对方删除tab$记录的恢复方法.--//实际上就是"狸猫换太子"的方法,利用好的数据库的对应块覆盖坏数据库的对应块,再启动数据库.然后利用删除前的tab$的备份--//数据导入tab$,然后解决数据字典不...
高端商务活动策划商业计划书PPT模板
最新发布
07-12
【作品名称】:高端商务活动策划商业计划书PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
oracle命令大全.pdf
01-15
"Oracle命令大全.pdf"是一份全面的文档,专注于学习Oracle数据库管理。该文档详细介绍了Oracle数据库的基础操作语句和连接方法,旨在帮助读者快速掌握在Oracle环境中进行日常管理和维护的关键技能。 **Oracle基本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值