dbf如何导入oracle_Oracle软件的安装介质被注入恶意程序事件分析与防御
No.1 声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
No.2 前言
去年分析过Oracle比特币勒索事件,通过在各大下载平台上传恶意pl/sql安装包。详细链接如下:
http://greatagain.dbappsecurity.com.cn/#/book?id=196&type_id=1
接下来分析的事件与上述事件类似,但又有不同。
同时在各下载平台上传Oracle软件的安装介质,从而替换恶意文件prvtsupp.plb,达到实现了恶意代码的注入,从而实现了数据库300天之后重启之后无法正常启动而是出现类似ORA-00600: internal error code, arguments: [16703], [1403], [20], , , , , , , , , 的错误。
No.3 故障现象
客户对数据库进程重启,重启之后数据库就无法启动,后台alert日志就报ORA-00600 [16703]错误。
进一步通过10046分析,可以发现数据库在启动过程中访问tab$和I_OBJ$的时候出现了问题。
No.4 故障原理
通过分析,发现和最近爆发的Oracle安装介质被注入恶意代码有关。
检查Oracle数据库安装目录,发现文件prvtsupp.plb文件正常和异常的多出来下面的代码:
正常的:
异常的:
可以看到异常的安装介质包中$ORACLE_HOME/rdbms/admin/prvtsupp.plb被人注入了多余的代码,创建了一个startup触发器,当数据库重启的时候,就会触发该动作。该动作会去执行一个叫DBMS_SUPPORT_DBMONITORP的存储过程。该存储过程是加密的存储过程。使用解密工具可以查看到该存储过程的内容,如下:
可以看到这段代码的内容就是当系统的当前日志>创建日期300天,就创建一个叫ORACHK开头的表对sys.tab$执行备份。同时再删除sys.tab$表。
这段代码是毁灭性的,数据库重启之后就把基表tab$删除了。再也启动不了。
No.5 解决办法
目前解决办法有两种:
1.通过bbed来恢复,这种恢复方法相当复杂。可以看到病毒对tab$表做了备份,可以通过bbed来读到ORACHK表中的块的数据,然后在还原到tab$表中的数据块上。
EXECUTE IMMEDIATE 'create table ORACHK'||SUBSTr(SYS_GUID,10)||' tablespace system as select * from sys.tab$';
2.通过DUL等抽取工具来抽取。数据量大非常耗费时间。
3.使用备份的system.dbf文件强行推进scn打开数据库,然后把数据导出来。
alter system set
"_system_trig_enabled"=false scope=both;
alter database open ;
drop TRIGGER
DBMS_SUPPORT_DBMONITOR;
drop PROCEDURE
DBMS_SUPPORT_DBMONITORP;
No.6 预防措施
1.根据软件注入的原理,需要检查文件$ORACLE_HOME/rdbms/admin/prvtsupp.plb,看看是否里面包含多余的创建触发器的代码。如果存在,需要将问题触发器和存储过程删除。
2.检查是否包含触发器
DBMS_SUPPORT_DBMONITOR和存储过程
DBMS_SUPPORT_DBMONITORP。
定期监控语句更新如下:
select 'DROP TRIGGER
'||owner||'."'||TRIGGER_NAME||'";'
from dba_triggers where
TRIGGER_NAME like
'DBMS_%_INTERNAL% '
or TRIGGER_NAME like
'DBMS_SUPPORT_DBMONITOR% '
union all
select 'DROP PROCEDURE
'||owner||'."'||a.object_name||'";'
from dba_procedures a
where a.object_name like
'DBMS_%_INTERNAL% ' or
a.object_name like
'DBMS_SUPPORT_DBMONITOR% ';
参考:http://www.xifenfei.com/2017/07/oracle-software-malicious-injection.html
国际原油走势又现断崖 是黑客攻击在搅局?
安恒主机卫士EDR入驻统信UOS应用商店 全方位主机安全防护“上线”
攻击浪潮长达四年 间谍组织如何一次又一次地破坏Google Play?
数十个关键代码漏洞被修复 Adobe为Bridge、Illustrator和Magento解决难题
dbf如何导入oracle_Oracle软件的安装介质被注入恶意程序事件分析与防御相关推荐
- ORA-600 16703--oracle介质被注入恶意脚本
继续上篇的tab$被清空(ORA-600 16703故障解析-tab$表被清空),导致数据库启动异常的case ORA-600 16703报错 数据库日志分析 数据库open成功同时报ORA-7445 ...
- 强制安装android软件,求肿么在Android上强制安装某一个软件。我想安装一个软件,但是安装不了,显示应用程序未安装。怎...
我教你下载QQ管家,删除那个软件,就行了.我再教你一个网上的知识 很简单. @echo off echo 正在清理系统垃圾文件,请稍等...... del /f /s /q %systemdrive% ...
- Vehicle Spy 软件下载安装手册
Vehicle Spy 软件下载安装手册 一.Vehicle Spy软件简介 Vehicle Spy 是美国英特佩斯公司的一款集成了诊断.节点/ECU仿真.数据获取.自动测试和车内通信网络监控等功能的 ...
- IT男写恶意程序获利超3000元,3万多QQ中招偷偷下载软件
张某原是某公司的病毒样本分析师,他得知编写恶意程序增加软件下载量可获得广告费用后,编写了恶意程序并上传互联网,致使3万余名QQ用户被感染.昨天记者获悉,张某因破坏计算机信息系统罪,被东城法院判处有期徒 ...
- Eclipse安装Git插件以及通过Git导入华为软件开发云项目
--内容提交-- 1. Eclipse安装Git插件 2. 在Eclipse中导入华为软件开发云项目, 以及常用Git操作 一. Eclipse安装Git插件 现在从eclipse官网下载 ...
- 用html打开dbf文件怎么打开,dbf格式文件是什么 dbf文件用什么软件打开
有小伙伴反映说,清理电脑时看到了dbf文件,不知道这是哪种类型的文件,也不知道有什么作用,不敢轻易删除.数据库文件的扩展名,是很多企业单位用于数据交换.那么dbf格式的文件如何打开呢? dbf格式文件 ...
- ORACLE安装启图形界面与oracle安装介质解压后缺jar包
8月25日-8月27日,三天就安装一套oracle 10.2.0.5 for AIX 6100 HA双机,安装过程中真是问题很多. 首先,是启动OUI图形界面,安装是在机房直连网卡进行的,使用 ...
- CentOS下软件的安装
Linux操作系统上软件的安装从整体上来说有两种方法: 一种是二进制安装,另一种是源码安装 下面我们就先说一下二进制安装 二进制安装我们一般采用两种工具rpm工具和yum工具 1.rpm工具 rpm ...
- 软件的安装(包括yum仓库与源码包的安装)
软件的安装 实验背景: 为了提高Linux服务器的易用性.扩展功能,安装软件包是管理员必备的技能,这其中又以RPM方式的安装操作最基础.最常用. 另外有时候需要解决依赖关系,要配置yum仓库.YUM ...
最新文章
- C++11中值得关注的几大变化
- linux串口查看mxser,Ubuntu8.04安装CP-168U的串口连接问题
- 宜信开源|微服务任务调度平台SIA-TASK入手实践
- linux打包解压工具,linux下的解压,打包工具
- 谷歌翻译突然用不了了
- ASCLL码对照表02(可显示字符)
- 什么软件能测试电脑能不能玩lol,怎么测试自己电脑能不能玩英雄联盟
- win 2008无法远程桌面服务器,Windows 2008远程桌面无法连接的几个情况分析
- iphone开发 加速计
- SUV世家广汽三菱,牵手微信企业号打造学习型企业
- 皮克定理,多边形面积以及线段上整点个数
- Error -27796: Failed to connect to server ip地址: [10060] Connection timed out
- android帧动画tulian,Flash小游项目任务书.doc
- 手机存量市场下的激烈角逐:VO荣米格局初定
- 计算机操作员考评标准,计算机操作员职业技能鉴定标准高级.doc
- 肾功能及早期肾损伤的检查题库【1】
- 道翰天琼认知智能奠基者领导者 中国原生认知智能科技 认知智能整体核心科技解密
- 求是潮android最新版,是谁在暗中观察
- OneFlow源码解析:Eager模式下的SBP Signature推导
- 【AI 技术精选】神经网络结构深入分析和比较
热门文章
- SQL Server中的sysobjects” 是什么意思
- javascript option 菜单图标_善用 CSS,不用 JavaScript 也能写出这些元素
- 电子测量与仪器第四版pdf_电子技术经典资料汇总:模电篇800M
- 基于Python-turtle库绘制皮卡丘、多边形、星空
- 该设备或资源(Web 代理)未设置为接受端口1080上的连接
- Android之Camera拍照
- Android系统信息获取 之十一:获取IMEI,IMSI号
- ffmpeg (三):ffmpeg结合SDL2.0解码音频流
- 视频编解码(六):264解码器学习
- FTP服务器的安装与配置