对数据库的“比特币攻击”及防护

ALERT: 数据库存在遭受比特币攻击的风险 ________________________________________ In this Document Description Occurrence Symptoms Workaround Solution References ________________________________________ APPLIES TO: Oracle Database - any Edition - any Version Information in this document applies to any platform. DESCRIPTION 用户使用客户端连接数据库或者数据库Alert日志中出现ORA-20312/ORA-20313/ORA-20315等报错信息,描述数据库已被锁死,需要发送比特币到某个地址来解锁数据库。 OCCURRENCE 客户使用被恶意篡改的绿色版或破解版的客户端软件(如破解的PL/SQL Developer或者Toad等软件)去连接数据库,在此类软件中,在连接成功后,调用注入的SQL脚本(Login.sql、AfterConnect.sql、toad.ini等)执行恶意代码,在数据库中生成三个触发器和四个存储过程。 当数据库重启或者用户连接数据库时,触发器会调用相应的存储过程操作数据库。这些存储过程会可能会破坏数据库,并抛出错误信息和提示信息。 SYMPTONS 用户使用客户端连接数据库或者数据库Alert日志中出现ORA-20312/ORA-20313/ORA-20315等报错信息,描述数据库已被锁死,需要发送比特币到某个地址来解锁数据库。这些注入脚本伪装成Oracle内部程序: -- -- Copyright (c) 1988, 2011, Oracle and/or its affiliates. -- All rights reserved. -- -- NAME -- login.sql -- -- DESCRIPTION -- PL/SQL global login "site profile" file -- -- Add (more...)