近期，國內(nèi)發(fā)生多起針對Oracle 數(shù)據(jù)庫的勒索病毒案例，通過分析，該勒索病毒通過網(wǎng)絡(luò)流傳的“PL/SQL Developer破解版”進(jìn)行傳播；運(yùn)維人員一旦使用帶有病毒的“PL/SQLDeveloper破解版”連接Oracle數(shù)據(jù)，工具立即觸發(fā)病毒文件在系統(tǒng)建立一系列的存儲過程，判斷數(shù)據(jù)庫創(chuàng)建時(shí)間是否大于1200天，如大于等于1200天則使用truncate清空數(shù)據(jù)庫。

所以，該病毒在感染Oracle數(shù)據(jù)庫后不會立即觸發(fā)，具有較長的潛伏期。

自查方法在Oracle Server端檢查或使用如下查詢語句：select 'DROP TRIGGER '||owner||'."'||TRIGGER_NAME||'";' from dba_triggers whereTRIGGER_NAME pke 'DBMS_%_INTERNAL%'union allselect 'DROP PROCEDURE '||owner||'."'||a.object_name||'";' from dba_procedures awhere a.object_name pke 'DBMS_%_INTERNAL% ';請注意：% '之間的空格。

執(zhí)行上述語句后，若為空，表示你的ORACLE數(shù)據(jù)庫是安全的，未中勒索病毒。

檢查自動執(zhí)行腳本檢查PLSQL DEV安裝目錄，查找afterconnect.sql和login.sql文件。

其中afterconnect.sql文件默認(rèn)是空白， 大小應(yīng)是0字節(jié)，login.sql打開后只有一句注釋“- -Autostart Command Window script ”，如果這兩個(gè)文件里有其他內(nèi)容，應(yīng)懷疑是病毒。

建議：本次Oracle數(shù)據(jù)庫的勒索問題，希望大家能提高日常運(yùn)維安全意識，做好數(shù)據(jù)安全防范工作，數(shù)據(jù)要實(shí)時(shí)備份并且做好可用性測試。

為了不被勒索，建議如下：1、采用正版軟件，規(guī)避未知風(fēng)險(xiǎn)。

用戶檢查數(shù)據(jù)庫工具的使用情況，避免使用來歷不明的工具產(chǎn)品。

2、用戶加強(qiáng)數(shù)據(jù)庫的權(quán)限管控、生產(chǎn)環(huán)境和測試環(huán)境隔離，嚴(yán)格管控開發(fā)和運(yùn)維工具。

3、定期進(jìn)行信息安全風(fēng)險(xiǎn)評估。

由信息安全管理責(zé)任部門定期組織信息安全風(fēng)險(xiǎn)評估，將風(fēng)險(xiǎn)評估工作規(guī)范化，列行化。

/