dbf如何导入oracle_Oracle软件的安装介质被注入恶意程序事件分析与防御

最新推荐文章于 2021-04-03 16:06:44 发布
最新推荐文章于 2021-04-03 16:06:44 发布
阅读量138 收藏
点赞数
文章标签: dbf如何导入oracle

No.1 声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

No.2 前言

去年分析过Oracle比特币勒索事件,通过在各大下载平台上传恶意pl/sql安装包。详细链接如下:

http://greatagain.dbappsecurity.com.cn/#/book?id=196&type_id=1

接下来分析的事件与上述事件类似,但又有不同。

同时在各下载平台上传Oracle软件的安装介质,从而替换恶意文件prvtsupp.plb,达到实现了恶意代码的注入,从而实现了数据库300天之后重启之后无法正常启动而是出现类似ORA-00600: internal error code, arguments: [16703], [1403], [20], , , , , , , , , 的错误。

No.3 故障现象

客户对数据库进程重启,重启之后数据库就无法启动,后台alert日志就报ORA-00600 [16703]错误。

5e99eefea76185e840fe22fd22dca95a.png

进一步通过10046分析,可以发现数据库在启动过程中访问tab$和I_OBJ$的时候出现了问题。

4e5dab316e1e6a37f3e195e4e9a01e0a.png

No.4 故障原理

通过分析,发现和最近爆发的Oracle安装介质被注入恶意代码有关。

检查Oracle数据库安装目录,发现文件prvtsupp.plb文件正常和异常的多出来下面的代码:

正常的:

c1a6a9f55ffae2102314ea04a60c1a9c.png

异常的:

a28d38ee3416db2337709d4b3b228ddc.png

可以看到异常的安装介质包中$ORACLE_HOME/rdbms/admin/prvtsupp.plb被人注入了多余的代码,创建了一个startup触发器,当数据库重启的时候,就会触发该动作。该动作会去执行一个叫DBMS_SUPPORT_DBMONITORP的存储过程。该存储过程是加密的存储过程。使用解密工具可以查看到该存储过程的内容,如下:

8a5001c4142905735046d663d6436119.png

可以看到这段代码的内容就是当系统的当前日志>创建日期300天,就创建一个叫ORACHK开头的表对sys.tab$执行备份。同时再删除sys.tab$表。

这段代码是毁灭性的,数据库重启之后就把基表tab$删除了。再也启动不了。

No.5 解决办法

目前解决办法有两种:

1.通过bbed来恢复,这种恢复方法相当复杂。可以看到病毒对tab$表做了备份,可以通过bbed来读到ORACHK表中的块的数据,然后在还原到tab$表中的数据块上。

EXECUTE IMMEDIATE 'create table ORACHK'||SUBSTr(SYS_GUID,10)||' tablespace system as select * from sys.tab$';

2.通过DUL等抽取工具来抽取。数据量大非常耗费时间。

3.使用备份的system.dbf文件强行推进scn打开数据库,然后把数据导出来。

alter system set

"_system_trig_enabled"=false scope=both;

alter database open ;

drop TRIGGER

DBMS_SUPPORT_DBMONITOR;

drop PROCEDURE

DBMS_SUPPORT_DBMONITORP;

No.6 预防措施

1.根据软件注入的原理,需要检查文件$ORACLE_HOME/rdbms/admin/prvtsupp.plb,看看是否里面包含多余的创建触发器的代码。如果存在,需要将问题触发器和存储过程删除。

2.检查是否包含触发器

DBMS_SUPPORT_DBMONITOR和存储过程

DBMS_SUPPORT_DBMONITORP。

定期监控语句更新如下:

select 'DROP TRIGGER

'||owner||'."'||TRIGGER_NAME||'";'

from dba_triggers where

TRIGGER_NAME like

'DBMS_%_INTERNAL% '

or TRIGGER_NAME like

'DBMS_SUPPORT_DBMONITOR% '

union all

select 'DROP PROCEDURE

'||owner||'."'||a.object_name||'";'

from dba_procedures a

where a.object_name like

'DBMS_%_INTERNAL% ' or

a.object_name like

'DBMS_SUPPORT_DBMONITOR% ';

参考:http://www.xifenfei.com/2017/07/oracle-software-malicious-injection.html

2ce8a91f78ee01a2113afce07e06254e.png

  • 国际原油走势又现断崖 是黑客攻击在搅局?

  • 安恒主机卫士EDR入驻统信UOS应用商店 全方位主机安全防护“上线”

  • 攻击浪潮长达四年 间谍组织如何一次又一次地破坏Google Play?

  • 数十个关键代码漏洞被修复 Adobe为Bridge、Illustrator和Magento解决难题

5423f6740f4c07df4e2eaa71ce373c2b.png
weixin_39887183
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
**在linux虚拟机上安装oracle数据库**
zndeID_的博客
04-23 1605
1、 先在opt文件夹下创建一个soft文件夹 2、 将oel iso、oracle安装介质、rpm三个文件上传到创建的soft文件夹中 3、 进入到soft目录下,执行ll可以查看是否上传成功 4、 配置yum源 (1、先在mnt下创建一个cdrom文件夹 2、将系统安装盘(iso镜像文件)挂载到/mnt/cdrom上) 命令:在/soft文件夹输入命令mount -o loop OracleLinux-R7-U8-Server-x86 _64-dvd.iso /mnt/cdr...
ORA-600 16703--oracle介质注入恶意脚本
weixin_30417487的博客
11-26 682
继续上篇的tab$被清空(ORA-600 16703故障解析—tab$被清空),导致数据库启动异常的caseORA-600 16703报错 数据库日志分析数据库open成功同时报ORA-7445 kokeicbegin和ORA-600 kzrini:!uprofile错误 再次启动数据库直接报ORA-600 16703错误 这里有一个其他现象,就是数据库在open成功的同时(同...
oracle-数据库被注入恶意攻击程序的案例恢复
dzq0371的专栏
04-07 538
问题描述: Oracle数据库由于重启之后无法正常启动,tab$被清空(ORA-600 16703故障解析—tab$被清空),导致数据库启动异常 ORA-600 16703报错 一、检测方法:   如下SQL语句查询各位所负责的数据库,确认没有记录示未中病毒! SELECT 'DROP TRIGGER '||OWNER||'."'||TRIGGER_NAME||'";' FROM ...
使用DBMS_SUPPORT包
老徐的博客只有干货
11-13 1366
DBMS_SUPPORT包从Oracle7.2引入,主要功能用以提供更完整的用户session跟踪信息 这个包可以通过运行 dbmssupp.sql 和 prvtsupp.plb 两个脚本来创建. 该脚本位于$ORACLE_HOME/rdbms/admin目录下 以下版本中都包含这些文件: 8.0.6, 8.1.7, 9.0.1, 9.2.0 and above 1.
Oracle 比特币勒索恢复 ORA-16703 方法
Roger's oracle blog
03-15 1523
前几某客户紧急求助我们,其Oracle数据库由于重启之后无法正常启动。最后通过数据库全备进行了一一夜的恢复,最后仍然无法正常打开数据库。alter database open时检查发现数据库报错ORA-16703. 从用户提供的信息来看,确实是在open resetlogs的时候出现的错误。那么这个错误意味着什么呢? 其实第一眼看到这个错误;我们就大概清楚这是Oracle的数据字典出问题...
各种导出脚本工具_oracle_oracle导出csv_oracle数据导出脚本_txt导出为dbf_
09-29
1. **第三方工具**:例如,你可以使用像是`DBF Commander`或`DBF Viewer Plus`这样的软件,先将Oracle数据导入到这些工具,然后再导出为DBF格式。 2. **编程接口**:通过Python的`pyodbc`或`pandas`库,可以连接到...
Oracledbf恢复数据需要的软件
11-29
压缩包中的软件配合使用,可以从dbf完美还原需要的数据,还原教程参考我的博客 1、诗檀软件的DUL软件可在windows下运行 PRM-DUL-v3.1.zip DUL4108.zip DUL5108.zip 2、oracle的odu软件 odu_309_win32.zip 3、...
DBF格式的数据导入oracle的流程
11-17
在开始将 DBF 文件导入Oracle 数据库之前,我们需要确保 Oracle 数据库的相关服务已经启动,并且已经安装了 PL/SQL 软件。 步骤 1: 启动 Oracle 数据库服务 首先,我们需要确保 Oracle 数据库的相关服务已经...
dell-oracle_oracle_删除ORACLE_
09-30
在IT行业中,数据库管理系统Oracle是企业级应用广泛的数据存储与管理解决方案。然而,在某些情况下,可能需要卸载或删除安装Oracle实例。本篇将详细介绍如何在Dell服务器上安全有效地删除Oracle数据库。 首先,...
Oracle 19c 备份恢复-导入导出
07-10
Oracle 19c 备份恢复-导入导出 Oracle 19c 备份恢复-导入导出是指使用 Oracle 数据库提供的工具 exp 和 imp 实现数据库的备份恢复和数据的导入导出。本文将详细介绍 Oracle 19c 备份恢复-导入导出的基本命令、工作...
oracle 11.2.0.4的补丁有大问题
cs309086543的博客
02-25 464
春节刚过,还没有上班,一个客户电话说数据库因主机掉电,不能启动。 发过来报错,如下: ORA-00704: bootstrap process failure ORA-00704: bootstrap process fa...
ORACLE安装启图形界面与oracle安装介质解压后缺jar包
clm20482的博客
08-31 127
8月25日-8月27日,三安装一套oracle 10.2.0.5 for AIX 6100 HA双机,安装过程中真是问题很多。 首先,是启动OUI图形界面,安装是在机房直连网卡进行的,使用的是Xbrowse...
数据恢复:被注入软件及 ORA-600 16703 灾难的恢复
eygle's life
07-31 1300
最近帮助一个客户恢复数据库,遇到了如下这个问题。让我们再一次惊醒于数据安全。
oracle及linux服务器安装介质资源整理
07-19 940
Oracle安装介质: 11gR2-windows-服务器-64位: 链接:https://pan.baidu.com/s/1xH5GetPy20OOprU-XHSiPw 密码:1zcg 11gR2-windows-客户端-64位: 链接:https://pan.baidu.com/s/1zGKBTdYZWy-iAIQbK9YhAA 密码:vugw 11gR2-windows-客户端...
oracle 注入漏洞修复,oracle-数据库被注入恶意攻击程序的案例恢复
weixin_33001177的博客
04-03 790
问题描述:Oracle数据库由于重启之后无法正常启动,tab$被清空(ORA-600 16703故障解析—tab$被清空),导致数据库启动异常ORA-600 16703报错 一、检测方法:如下SQL语句查询各位所负责的数据库,确认没有记录示未中病毒!SELECT 'DROP TRIGGER'||OWNER||'."'||TRIGGER_NAME||'";' FROM DBA_TRIGGERS ...
在RedHat6.9_x64上安装Oracle11g R2_11.2.0.4
宗辉.AimS
03-11 3831
一、操作系统相关参数的设置 1.1 主机名设置 # vim /etc/sysconfig/network NETWORKING=yes HOSTNAME=RHEL //在此处设置计算机名 GATEWAY=192.168.1.1 1.2 网络配置 # vim /etc/sysconfig/network-scripts/ifcfg-eth0 DEVI......
Linux下Oracle安装与管理详解:步骤与注意事项
首先,作者强调了尽管Linux下安装Oracle可能较为复杂,但与软件管理相比,安装过程仍相对较简单。在安装前,需确保充足的硬件资源,包括: 1. **硬件需求**: - 硬盘:主要考虑用于存储Oracle数据库,根据版本不同...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值