2017/12/12凌晨,某项目组为应对双十二高峰做了一次紧急扩容,由于时间紧张,新扩容的系统都没有加入4A保护,局方特许在机房直连操作。夜里3点开始升级,4点升级结束,重新启动系统。原本一次再寻常不过的现场升级操作,此时突然出现数据库账号被锁定的问题!数据库进不去了,提示“你的数据库已经被SQL RUSH team锁死,请发送5个比特币到xxxxxxxxxxx地址,….”。现场升级的同事呆住了: 系统中了勒索病毒!气氛立刻紧张到极点,这可是生产系统!虽然此时是深夜,没有用户使用,但距离营业厅开业只有三个小时时间,必须在这三小时里定位并消除病毒影响。
病毒的入侵
病毒是挂在网上下载的所谓破解版plsql developer的工具上的,这个工具普遍存在各个项目组。里面的一个文件afterconnet.sql被黑客注入了病毒代码。这个代码会在你连接数据库后立即执行,如果你的账号拥有dba权限,它会在你的数据库中创建多个存储过程和触发器,会阻止你连接数据,当你重启动后,会触发病毒触发器,加密并删除sys.tab$,导致你无法访问数据库中所有的schema。然后设置定时任务,如果在期限内不交赎金,就truncate你所有的表。病毒发作危害极大,而且原厂和相关的安全厂商都很难恢复。
这个病毒为了增加破坏效果,加强隐蔽性,只有当数据库创建时间超过1200天才会爆发,有很长的潜伏期。
病毒的查验方法
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞14
添加新评论8 条评论
2018-03-28 10:17
2017-12-22 15:20
2017-12-14 18:38
2017-12-14 11:04
2017-12-14 09:54
2017-12-13 20:09
2017-12-13 17:01
2017-12-13 16:12
yly2001: @liucj2004 后续怎么处理?如果发现怎么处理?