oracle数据库遭遇比特币攻击

今天来到公司，组长说数据库中病毒了，提示数据库被锁死。我在网上搜索得知是遭遇了比特币勒索攻击。

问题症状：

登录数据库时，提示数据库被锁死，黑客提示发送5个比特币可以解锁。

如果从客户端登录，你获得的提示信息示例了能如下：

在数据库的日志中，可能获得的信息如下：

ORA-00604: error occurred at recursive SQL level 1ORA-20315: 你的数据库已被SQL RUSH Team锁死  发送5个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (大小写一致)  之后把你的Oracle SID邮寄地址 sqlrush@mail.com 我们将让你知道如何解锁你的数据库  Hi buddy, your database was hacked by SQL RUSH Team, send 5 bitcoin to address 166xk1FXMB2g8JxBVF5T4Aw1Z5aZ6vSE (case sensitive),  after that send your Oracle SID to mail address sqlrush@mail.com, we will let you know how to unlock your database.ORA-06512: at "XXX.DBMS_CORE_INTERNAL         ", line 27ORA-06512: at line 2

问题原因：

根据我们收集的信息分析，这个问题的原因是：

如果用户从某些不明来源下载了PL/SQL Developer工具后（尤其是各种绿色版、破解版），这个工具的安装目录存在一个脚本文件AfterConnect.sql，正常安装这个脚本是空文件，但是被注入的文件，该脚本包含了一系列的JOB定义、存储过程和触发器定义。

受感染的AfterConnect.sql脚本开头伪装非常正常的代码：

实质内容却是加密的恶意代码：

程序的开始加入了下面代码：

看到这里真是感觉黑客太阴险了，同时也佩服他们的聪明之处，嗨，总之
做好下面几点吧：

采用正版软件，规避未知风险。（强烈建议）
安全漏洞：

几乎绝大多数客户端工具，在访问数据库时，都可以通过脚本进行一定的功能定义，而这些脚本往往就是安全问题的漏洞之一，来历不明的工具是数据库管理大忌，以下列出了常见客户端工具的脚本位置，需要引起注意：

SQL*Plus: glogin.sql / login.sqlTOAD : toad.iniPLSQLdeveloper: login.sql / afterconnect.sql

处置建议：

如果您的数据库已经遭受攻击和数据损失，可以紧急联系云和恩墨的服务团队，我们可以帮助您处理数据修复事宜。云和恩墨的ODU产品，可以在数据丢失后最大限度的恢复数据。