近期，國內發(fā)生多起針對Oracle 數據庫的勒索病毒案例，通過分析，該勒索病毒通過網絡流傳的“PL/SQL Developer破解版”進行傳播；運維人員一旦使用帶有病毒的“PL/SQLDeveloper破解版”連接Oracle數據，工具立即觸發(fā)病毒文件在系統(tǒng)建立一系列的存儲過程，判斷數據庫創(chuàng)建時間是否大于1200天，如大于等于1200天則使用truncate清空數據庫。

所以，該病毒在感染Oracle數據庫后不會立即觸發(fā)，具有較長的潛伏期。

自查方法在Oracle Server端檢查或使用如下查詢語句：select 'DROP TRIGGER '||owner||'."'||TRIGGER_NAME||'";' from dba_triggers whereTRIGGER_NAME pke 'DBMS_%_INTERNAL%'union allselect 'DROP PROCEDURE '||owner||'."'||a.object_name||'";' from dba_procedures awhere a.object_name pke 'DBMS_%_INTERNAL% ';請注意：% '之間的空格。

執(zhí)行上述語句后，若為空，表示你的ORACLE數據庫是安全的，未中勒索病毒。

檢查自動執(zhí)行腳本檢查PLSQL DEV安裝目錄，查找afterconnect.sql和login.sql文件。

其中afterconnect.sql文件默認是空白， 大小應是0字節(jié)，login.sql打開后只有一句注釋“- -Autostart Command Window script ”，如果這兩個文件里有其他內容，應懷疑是病毒。

建議：本次Oracle數據庫的勒索問題，希望大家能提高日常運維安全意識，做好數據安全防范工作，數據要實時備份并且做好可用性測試。

為了不被勒索，建議如下：1、采用正版軟件，規(guī)避未知風險。

用戶檢查數據庫工具的使用情況，避免使用來歷不明的工具產品。

2、用戶加強數據庫的權限管控、生產環(huán)境和測試環(huán)境隔離，嚴格管控開發(fā)和運維工具。

3、定期進行信息安全風險評估。

由信息安全管理責任部門定期組織信息安全風險評估，將風險評估工作規(guī)范化，列行化。

/