« 【红色警报】近期Oracle数据库遭受比特币勒索攻击原因揭秘和预防 | Blog首页 | Oracle 12c 多租户:PDB 支持 abort 关闭么? »
关于ORA-20315数据库攻击事件的核心 AfterConnect.sql
作者:eygle | 【转载请注出处】|【云和恩墨 领先的zData数据库一体机 | zCloud PaaS云管平台 | SQM SQL审核平台 | ZDBM 数据库备份一体机】
链接:https://www.eygle.com/archives/2016/11/ora-20315_afterconnect_sql.html
链接:https://www.eygle.com/archives/2016/11/ora-20315_afterconnect_sql.html
关于前面提到的PL/SQL Developer攻击事件,我们明确发现AfterConnect.sql脚本是攻击的真正来源。在正常的软件中,该文件是空的,而被污染的软件源,其文件内容是恶意代码。请注意检查您的企业环境。
目前发现感染源是:PLSQL Developer 11.06 中文绿色注册版(免Oracle11g客户端) 。
最早来自CSDN,下载源已被删除。
受到注入的数据库会显示如下主要错误:
ORA-00604: error occurred at recursive SQL level 1
ORA-20315: 你的数据库已被SQL RUSH Team锁死 发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小写一致) 之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库
Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive), after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.
ORA-06512: at "XXX.DBMS_CORE_INTERNAL ", line 27
ORA-06512: at line 2
敬请关注。
历史上的今天...
>> 2012-11-16文章:
>> 2010-11-16文章:
>> 2009-11-16文章:
>> 2008-11-16文章:
>> 2007-11-16文章:
>> 2006-11-16文章:
>> 2005-11-16文章:
By eygle on 2016-11-16 16:53 | Comments (0) | Advanced | 3214 |