“比特币勒索攻击”快速排查攻略,文末附脚本
故障回顾:
【红色警报】近期Oracle数据库遭受比特币勒索攻击原因揭秘和预防(一)
在上一篇文章中,我们分析了Oracle安全比特币勒索问题的根本原因,在揭示了其实并不很神秘的“黑客”面纱之后,我们更应该做的是深思——为何这样的“勒索”得以成功?如何避免此类的安全问题?如何提高数据库的安全可靠性?
让我们来再次回顾一下这次安全风险的关键点:
1、某些用户下载了来源不明的数据库管理工具,导致数据库被“感染”;
2、很多用户在通过PL/SQL Developer工具登录数据库时发现该问题,数据库应用弹出"锁死"提示,并且威胁说需要向黑客发送5个比特币方可获得解锁;
3、在“黑客”嵌入的代码中,存在大量V$DATABASE、sys.tab$、SYS.DBMS_BACKUP_RESTORE、'alter system checkpoin' 等高权限用户才能访问的对象或执行的操作;
总结一下:
当我们下载了来历不明的数据库管理/访问工具,以高权限(DBA或SYSDBA)用户登录了生产数据库,duang,“黑客”得逞!你的数据库弹出如下的提示,自此你的数据库无法登录,而更严重的后果,数据库中的表很可能被truncate掉!!!
看到这里,我们会发现前面提到的第一个问题已经清楚的得到了答案。那么第二个问题的答案也就呼之欲出了,我们应该怎么避免此类问题呢?
1、如果用户使用的都是正版的软件,而不是从互联网上下载盗版的PL/SQL Developer 工具(尤其是各种绿色版、破解版),那么根本不会中招——很明显,不正规的软件来源是被
“黑”的入口,就如同那些不清楚来源的链接一般,千万莫点。
再次强调:盗版软件害人!但是在一个开发环境中,可能无法杜绝来源广泛的各种工具,怎么破?继续向下看。
2、如果用户仅仅使用普通用户登录,那么这些高权限的操作根本无法执行,那些系统对象根本无法访问,那么黑客也就无法种下这颗“恶魔的种子”。如果系统进行了严格的权限控制,即使登录了数据库,也会被防止进行恶意操作
安全要点1:权限的细化与管控是防范高危动作的基本措施!禁止远程 DDL 操作,将 DDL 操作限制在服务器本地执行,可以有效防止误操作和渗透损毁。在很多注重安全的企业中,这一条是被严格执行的。
3、如果用户登陆的仅仅是测试库,而不是生产库,那么即使出现故障,也不会影响业务运行,丢失生产数据。
安全要点2:生产库的登录必须严格控制,从制度到人,严防死守!
安全要点3:任何可疑的登录必须追溯,摒弃疏漏点!
在总结了上面这些安全要点之后,现在我们可以总结一下如何提高数据库的安全可靠性,减少安全死角了,这也是云和恩墨多位技术专家总结了大量金融、电信等大型行业客户服务心得,得到的经验之谈。云和恩墨的数据安全服务,包括安全评估、安全增强,可以帮助用户提升数据库安全。
通常来说,数据库安全提升,需要从以下几个方面入手:
安全维度 | 安全策略 |
运维安全管理制度与管理 | 登录人员合法性管理 维护人员操作风险性管理 变更、发布管理 |
权限安全检查与管理策略 | 回收高权限,特别是DBA权限 细化用户权限 检查不合理的默认授权 |
口令安全检查与管理策略 | 涉及操作系统、数据库、用 口令安全管理策略 账号状态变更管理 |
访问安全性检查与策略 | 确认4W1H ,即谁在什么时间在何位置如何访问了什么数据,找出可疑、不合理的用户、登录、访问、操作。 |
数据的加密保护 | 在文件、备份、网络传输多层进行保护,防止拖库、数据被窃取、篡改行为的发生。 |
数据库软件环境的检查 | 数据库软件版本安全评估 Oracle官方安全补丁的修正实施 |
访问环境与脚本的审核 | 登录数据库的软件合法性 登录数据库的软件环境脚本合法性 数据库中操作脚本的安全性 |
安全审计 | 合理设置数据库、触发器、应用软件多层审计 |
数据保护策略 | 备份策略的完整性 灾备架构的健壮性 |
1、 对于任何一个业务系统而言,安全都是最基本的要求。没有安全性,连续性和高效性都是反作用力。
2、 业务集中化、商政务移动化等新架构新技术的应用,放大了安全风险带来的危害。
3、 安全无止境。不安全因素没有阶段性,因此,安全防护就是一个长期持续行为,并需要化解在日常工作中。
围绕着上面这八个安全维度,云和恩墨提供了全面的数据库安全增强解决方案,可以就某一子项进行安全增强,也可为客户提供整体的安全加固方案。
当然,如果您希望快速了解您企业的数据库是否存在众多的安全漏洞或者安全风险,推荐您自助使用云和恩墨的免费自动化巡检工具:Bethune(白求恩),该工具为基于云平台的免费工具,在帮您检查数据库基本情况的同时,也内置安全方面的检查,通过对数据库安全补丁、访问来源、访问工具等维度的分析,帮助用户快速梳理数据库安全情况,让您掌握第一手的数据库安全咨询。别犹豫,去 https://bethune.enmotech.com 看看,不收钱。
为了让大家快速排查数据库是否遭遇攻击,云和恩墨专家提供了自动检测脚本。助你快速排查处理,远离忧患!
下载地址:https://pan.baidu.com/s/1pK7SEr5(原文链接直达)
注意:非 Windows 服务器,使用 oracle 用户运行
perl checkBitAttack.pl