Oracle 数据库勒索病毒 RushQL 处理办法

Oracle 数据库勒索病毒 RushQL 处理办法

办法来自Oracle 官方：

https://blogs.oracle.com/cnsupport_news/对数据库的“比特币攻击”及防护

由于现将Oracle 数据库勒索病毒 RushQL 安全预警下发给各部门，我公司高度关注此次事件的预警，排查是否有涉及，做好相关工作。

预警名称 ：Oracle 数据库勒索病毒 RushQL 安全预警

风险等级 ：高
影响范围 ：

工作人员使用破解版的 PL/SQL 套件连接过的 Oracle 数据库都有可能感染该病毒。

自查方案:

如果数据库中存在以下四个存储过程和三个触发器，则说明已经感染此病毒:

存储过程：

1. DBMS_SUPPORT_INTERNAL

2. DBMS_STANDARD_FUN9

3. DBMS_SYSTEM_INTERNA

4. DBMS_CORE_INTERNAL

触发器：

5. DBMS_SUPPORT_INTERNAL

6. DBMS_ SYSTEM _INTERNAL

7. DBMS_ CORE _INTERNAL

处置建议 ：

根据数据库所满足的不同条件，处置建议有所区别，如下：

满足条件：

（当前日期 - 数据库创建日期 > 1200 天） 且 （当前日期 – 数据表（不含SYSTEM, SYSAUX, EXAMPLE）的最小分析日期 <= 1200 天）：

处置方案

1. 删除4个存储过程和3个触发器

2. 使用备份把表恢复到truncate之前

3. 使用ORACHK开头的表恢复tab$

4. 使用DUL恢复（不一定能恢复所有的表，如truncate的空间已被使用）

触发器满足条件：

（当前日期 - 数据库创建日期 > 1200 天） 且 （当前日期 – 数据表（不含SYSTEM, SYSAUX, EXAMPLE）的最小分析日期 > 1200 天）：

处置方案

1. 删除4个存储过程和3个触发器

2. 使用备份把表恢复到truncate之前

3. 使用DUL恢复（不一定能恢复所有的表，如truncate的空间已被使用）

不满足以上条件的数据库直接删除四个存储过程和三个触发器

检查：

SELECT *
FROM ALL_PROCEDURES
WHERE PROCEDURE_NAME LIKE '%DBMS%';

SELECT *
FROM ALL_PROCEDURES
WHERE PROCEDURE_NAME IN ('DBMS_SUPPORT_INTERNAL',
'DBMS_STANDARD_FUN9',
'DBMS_SYSTEM_INTERNA',
'DBMS_CORE_INTERNAL');

SELECT * FROM ALL_TRIGGERS WHERE TRIGGER_NAME LIKE '%DBMS%';

SELECT * 
FROM ALL_TRIGGERS 
WHERE TRIGGER_NAME IN ('DBMS_SUPPORT_INTERNAL',
'DBMS_ SYSTEM _INTERNAL',
'DBMS_ CORE _INTERNAL') ;

经检查，无类似勒索病毒；

如果有，具体处理方式参照官方论坛：

https://blogs.oracle.com/cnsupport_news/对数据库的“比特币攻击”及防护

文章转载自：https://www.cnblogs.com/hmwh/p/9993315.html