原文鏈接:https://www.modb.pro/db/21437 (複製鏈接至瀏覽器,進入墨天輪平臺,瞭解更多數據庫最新資訊!)
摘要:疫情還沒得到很好的控制,黑客已經復工,由於多數醫院的信息化建設落後,風險意識薄弱,成為了眾多勒索病毒的攻擊目標,本文總結了幾種常見的幾種數據庫勒索病毒,以及檢查整改方案,供大家參考。
今天我們看到一個通知,多家醫院信息系統出現勒索病毒,建議大家檢查防範,此病毒只要做好安全措施,不會感染,也不具有傳染性,不過一旦發病,系統就會面臨癱瘓。
通 知
近期有多家醫院出現勒索病毒事件,為了保證醫院信息系統安全,近期各個廠家要將自己的設備和系統進行一次完整的體檢,並出具體檢報告,務必將工作計劃報上來,需要醫院做哪些配合也要一一說明。基於信息系統安全考慮,各個廠家此次體檢報告內要明確本系統都用到那些端口,以後醫院安全設備將啟動白名單制度,不用端口直接關閉。
疫情還沒得到很好的控制,黑客已經復工,由於多數醫院的信息化建設落後,風險意識薄弱,成為了眾多勒索病毒的攻擊目標,本文總結了幾種常見的幾種數據庫勒索病毒,以及檢查整改方案,供大家參考。
1、登錄腳本AfterConnect.sql被注入
1.1、來源
盜版PL/SQL Developer的AfterConnect.sql腳本被注入病毒,其他工具也存在。
1.2、現象
數據庫中存在被加密的存儲過程,名字如下:"DBMS_SUPPORT_INTERNAL ""DBMS_ SYSTEM_INTERNAL ""DBMS_ CORE_INTERNAL "“DBMS_STANDARD_FUN9”三個觸發器名字如下:"DBMS_SUPPORT_INTERNAL ""DBMS_ SYSTEM_INTERNAL ""DBMS_ CORE_INTERNAL "
一旦重啟數據庫,代碼會判斷數據庫創建時間大於1200天,然後開始truncate某些表以及tab$被刪除,恢復起來比較複雜。
詳細可以參考:《知己知彼-關於Oracle安全比特幣勒索問題揭秘和防範》https://www.modb.pro/db/1737。
1.3、巡檢排查
檢查是否使用盜版工具,Login.sql、AfterConnect.sql、toad.ini是否被注入。
檢查數據庫中是否存在以上對象:
<code>SELECT OWNER
, '"'||OBJECT_NAME||'"' OBJECT_NAME
,OBJECT_TYPE
,TO_CHAR(CREATED, 'YYYY-MM-DD HH24:MI:SS') CREATED
FROM DBA_OBJECTS
WHERE OBJECT_NAME LIKE 'DBMS_CORE_INTERNA%'
OR OBJECT_NAME LIKE 'DBMS_SYSTEM_INTERNA%'
OR OBJECT_NAME LIKE 'DBMS_SUPPORT%';
SELECT ' DROP '||OBJECT_TYPE||' "'||OWNER||'"."'||OBJECT_NAME||'";' OBJECT_NAME
FROM DBA_OBJECTS
WHERE OBJECT_NAME LIKE 'DBMS_CORE_INTERNA%'
OR OBJECT_NAME LIKE 'DBMS_SYSTEM_INTERNA%'
OR OBJECT_NAME LIKE 'DBMS_SUPPORT%';
SELECT JOB, LOG_USER, WHAT
FROM DBA_JOBS
WHERE WHAT LIKE 'DBMS_STANDARD_FUN9%' ;
SELECT ' -- Logon with '||LOG_USER||CHR(10)||' EXEC DBMS_JOB.BROKEN ('||JOB||', ''TRUE'')'||CHR(10)||' EXEC DBMS_JOB.REMOVE('||JOB||')' STMT
FROM DBA_JOBS
WHERE WHAT LIKE 'DBMS_STANDARD_FUN9%' ;
SELECT OWNER,'"'||OBJECT_NAME||'"' OBJECT_NAME,OBJECT_TYPE,CREATED
FROM DBA_OBJECTS
WHERE OBJECT_NAME LIKE 'ORACHK%';
/<code>
或者使用墨天輪上的腳本直接檢測:checkBitAttack_1 modb.pro/download/4
1.4、預防
- 不要下載盜版或者渠道不明的軟件
- 規範工具使用,限制IP訪問
2、安裝包prvtsupp.plb被注入
2.1、來源
多數為網上網盤下載的11204的Linux安裝包的prvtsupp.plb被注入病毒。
2.2、現象
核心部分為一個觸發器DBMS_SUPPORT_DBMONITOR一個存儲過程DBMS_SUPPORT_DBMONITORP,重啟觸發清空了tab$操作,導致數據庫啟動時bootstrap階段無法完成,數據庫無法啟動,報錯ORA-00600: internal error code, arguments:[16703], [1403], [20]
詳細參考:《ORA-600_16703比特幣攻擊案例分析》https://www.modb.pro/db/738
2.3、巡檢排查
- 檢查文件$ORACLE_HOME/rdbms/admin/prvtsupp.plb是否被注入
- 檢查是否有觸發器DBMS_SUPPORT_DBMONITOR和存儲過程DBMS_SUPPORT_DBMONITORP,參考1.3腳本。
2.14、預防
- 介質全部從官方正規渠道下載
- 安裝之前校驗介質的MD5
3、雲上MySQL常見的勒索方式
由於使用MySQL數據庫的部分開發商沒有安全意識,直接將MySQL的3306默認端口開放在公網中,並且設置弱密碼,過去我們接到過很多次雲上數據庫勒索的案例,99%都是以上情況。會刪除所有表(當然黑客會將表備份到自己的環境),然後創建一張比特幣勒索的信息表:
一旦數據庫被刪除,恢復起來難度非常高。
所以針對這種情況需要採集以下措施防範,同時適用於其他數據庫和服務器
- 定期對數據庫進行備份,為磁盤快照
- 修改默認端口,並修改安全組端口不對外網開放,限制IP訪問
- 設置複製密碼,並定期修改
4、參考
- 我們為全國醫療衛生機構提供免費的數據庫遠程故障診斷、性能分析、架構諮詢、緊急救援等服務,並承諾所有請求即刻響應。《 共克時艱 · 略盡綿薄丨雲和恩墨打響三大戰“疫”》https://www.modb.pro/db/15411
- 疫情當前,我們針對醫療行業整理了一個專欄,彙集了墨天輪上相關的文章和文檔,其中包含醫療信息化建設,高可用容災架構設計,互聯網醫療的落地,醫院系統上雲,以及日常運維規範和最佳實踐,現免費開放給所有同仁。《共克時艱 | 醫療信息化建設架構設計專欄》https://www.modb.pro/topic/15346
閱讀更多 數據和雲智能 的文章
