eygle.com   eygle.com
eygle.com eygle
eygle.com  
 

« 【红色警报】近期Oracle数据库遭受比特币勒索攻击原因揭秘和预防 | Blog首页 | Oracle 12c 多租户:PDB 支持 abort 关闭么? »

关于ORA-20315数据库攻击事件的核心 AfterConnect.sql
modb.pro

关于前面提到的PL/SQL Developer攻击事件,我们明确发现AfterConnect.sql脚本是攻击的真正来源。在正常的软件中,该文件是空的,而被污染的软件源,其文件内容是恶意代码。请注意检查您的企业环境。

目前发现感染源是:PLSQL Developer 11.06 中文绿色注册版(免Oracle11g客户端)

最早来自CSDN,下载源已被删除。

受到注入的数据库会显示如下主要错误:

ORA-00604: error occurred at recursive SQL level 1
ORA-20315: 你的数据库已被SQL RUSH Team锁死 发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小写一致) 之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库
Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.
ORA-06512: at "XXX.DBMS_CORE_INTERNAL ", line 27
ORA-06512: at line 2

敬请关注。


历史上的今天...
    >> 2012-11-16文章:
    >> 2010-11-16文章:
    >> 2009-11-16文章:
    >> 2008-11-16文章:
    >> 2007-11-16文章:
    >> 2006-11-16文章:
    >> 2005-11-16文章:
           推荐Kamus的新Blog
           你从哪里来,我的朋友?
           终于我有自己的blog site了

By eygle on 2016-11-16 16:53 | Comments (0) | Advanced | 3214 |


CopyRight © 2004~2020 云和恩墨,成就未来!, All rights reserved.
数据恢复·紧急救援·性能优化 云和恩墨 24x7 热线电话:400-600-8755 业务咨询:010-59007017-7040 or 7037 业务合作: marketing@enmotech.com