近期,比特幣打單進(jìn)攻卷土重來,用戶在登岸數(shù)據(jù)庫時(shí)呈現(xiàn)打單告誡信息,被要求上交比特幣來調(diào)換解鎖數(shù)據(jù)庫的處事。這一般是由于用戶下載了非官方的pl/sql軟件(個(gè)中被植入了惡意代碼)導(dǎo)致的,數(shù)據(jù)中心一旦“中招”,其表數(shù)據(jù)將蒙受被刪除,可能被加密,導(dǎo)致企業(yè)業(yè)務(wù)持續(xù)性受阻。
2016年11月22日的深夜,天璣溘然接到某客戶的緊張求救電話:系統(tǒng)無法登岸,業(yè)務(wù)系統(tǒng)受到影響。我們登岸隨處事器舉辦查抄發(fā)明:
這兩天網(wǎng)絡(luò)上熱炒的“比特幣打單”,一下子撲進(jìn)了現(xiàn)實(shí)。病毒的實(shí)現(xiàn)道理這里就不具體說了,網(wǎng)上許多這樣的帖子,已經(jīng)寫的很清楚。這里僅僅講一下這個(gè)案例的簡(jiǎn)樸處理懲罰進(jìn)程,以及這次事件給我們帶來的思考。
處理懲罰進(jìn)程雖然首先是找出“比特幣打單”相關(guān)的觸發(fā)器、存儲(chǔ)進(jìn)程以及靠山JOB.
4個(gè)存儲(chǔ)進(jìn)程如下:
DBMS_SUPPORT_INTERNAL
DBMS_SYSTEM_INTERNAL
DBMS_STANDARD_FUN9
DBMS_CORE_INTERNAL
三個(gè)觸發(fā)器則是:
數(shù)據(jù)庫啟動(dòng)后觸發(fā)器DBMS_SUPPORT_INTERNAL
數(shù)據(jù)庫登岸觸發(fā)器DBMS_SYSTEM_INTERNAL
DBMS_CORE_INTERNAL
確認(rèn)問題后,采納手段緊張舉辦處理懲罰。
1. 產(chǎn)生妨礙時(shí)千萬不要張皇的去著急重啟數(shù)據(jù)庫,“DBMS_SUPPORT_INTERNAL ”通過“after startup on database”觸發(fā)器觸發(fā);
2. 禁用數(shù)據(jù)庫監(jiān)聽(RAC情況下,監(jiān)聽會(huì)自動(dòng)重啟,為了安詳起見禁用監(jiān)聽),“DBMS_SYSTEM_INTERNAL ”和“DBMS_CORE_INTERNAL ”別離通過數(shù)據(jù)庫登錄行為和應(yīng)用登錄行為觸發(fā);
3. 殺掉所有的外部毗連,
4. 禁用病毒觸發(fā)器;
5. 配置數(shù)據(jù)庫job_queue_processes參數(shù)配置為0,禁用所有JOB執(zhí)行。這個(gè)案例中,病毒在數(shù)據(jù)庫中建設(shè)了300多萬個(gè)“TRUNCATE TABLE”JOB,一旦全部執(zhí)行,效果不堪設(shè)想;
6. 找出病毒存儲(chǔ)進(jìn)程和觸發(fā)器將其徹低刪除,刪除病毒JOB;
7. 刪除了病毒措施后,重啟數(shù)據(jù)庫并已只讀模式打開,只管淘汰截?cái)啾淼睦每臻g被其他工具包圍的大概。
顛末一系列的處理懲罰后,躁動(dòng)的系統(tǒng)寧靜了下來。我們開始舉辦系統(tǒng)受損水平的評(píng)估。
這是客戶的ERP系統(tǒng),系統(tǒng)中或許10多個(gè)SCHEMA,中毒的是個(gè)中第二大用戶。該用戶共有近2T的數(shù)據(jù),靠近6000張表,被截?cái)嗟谋矶噙_(dá)2800張。看到這個(gè)場(chǎng)景,即即是老司機(jī)如我們,也禁不住瞠目結(jié)舌。
專家組短暫的接頭后,開始尋求辦理方案。
擺在我們眼前有兩條路:
第一種是通過數(shù)據(jù)備份舉辦不完全規(guī)復(fù),將數(shù)據(jù)庫規(guī)復(fù)到妨礙前的正常時(shí)間點(diǎn),但這個(gè)方案實(shí)施樂成的難度很是大。通過抽樣觀測(cè),2800多張表并不是同一個(gè)批次被截?cái)啵枰獪?zhǔn)確定位每張表的截?cái)鄷r(shí)間,并在規(guī)復(fù)進(jìn)程不絕推進(jìn),按批次導(dǎo)出被截?cái)嗟谋怼XM論是規(guī)復(fù)時(shí)間照舊技妙手段上,都難以保障數(shù)據(jù)實(shí)時(shí)有效的規(guī)復(fù);
第二是通過DUL等數(shù)據(jù)抽取軟件,直接掃描數(shù)據(jù)文件,將掃描出的數(shù)據(jù)導(dǎo)入到數(shù)據(jù)庫。這種方律例復(fù)時(shí)間相對(duì)較短,但不能完全擔(dān)保數(shù)據(jù)的完整性,有些表數(shù)據(jù)大概無律例復(fù),前景也是布滿了變數(shù)。
接頭下來,抉擇兩條路并行實(shí)施。分別新的存儲(chǔ)空間,利用備份軟件舉辦數(shù)據(jù)規(guī)復(fù);同步的利用數(shù)據(jù)抽取軟件舉辦數(shù)據(jù)掃描。最終顛末不懈的盡力,終于在盡大概短的時(shí)間規(guī)復(fù)了所有被截?cái)嗟谋恚鳵MAN規(guī)復(fù),由于規(guī)復(fù)速度只有不到20M,仍然在龜速舉辦中。
前事不忘后事之師,固然最終是將數(shù)據(jù)找了返來,但這個(gè)案例中,仍然有許多處所值得我們總結(jié):
首先,美國(guó)服務(wù)器租用 美國(guó)站群服務(wù)器,應(yīng)用賬號(hào)權(quán)限分派過大。運(yùn)維人員可能開拓人員為了圖利便省事,凡是賦予應(yīng)用賬號(hào)DBA權(quán)限。如此給系統(tǒng)埋下了龐大的隱患,我們碰著許多開拓人員誤刪數(shù)據(jù)庫表的案例,或多或少的都對(duì)業(yè)務(wù)系統(tǒng)造成了影響。本例中的病毒措施也是通過應(yīng)用賬號(hào)建設(shè)了數(shù)據(jù)庫登錄觸發(fā)器,從而導(dǎo)致變亂的產(chǎn)生;
其次,系統(tǒng)打點(diǎn)不類型。開拓人員隨意利用第三方軟件毗連出產(chǎn)數(shù)據(jù)庫舉辦操縱,而這個(gè)進(jìn)程沒有受到任何監(jiān)視和管控。這個(gè)案例中,我們通過監(jiān)聽日志定位到妨礙時(shí)間段毗連的主機(jī),才找出變亂的始作俑者;
再次,數(shù)據(jù)備份很是的重要。跟著數(shù)據(jù)量的快速增長(zhǎng),傳統(tǒng)的備份技能已經(jīng)難以滿意業(yè)務(wù)系統(tǒng)的需要。數(shù)據(jù)備份在許多客戶的體系中都是一個(gè)放置,要害時(shí)候難以發(fā)揮浸染。這個(gè)案例中,客戶的數(shù)據(jù)庫備份要花3天時(shí)間,加上歸檔備份,耗時(shí)快要5天時(shí)間,不到萬不得已,或許沒有人愿意回收這種規(guī)復(fù)方法。關(guān)于數(shù)據(jù)掩護(hù),業(yè)界有許多的成熟方案。天璣科技數(shù)據(jù)庫專業(yè)處事團(tuán)隊(duì),團(tuán)結(jié)自身富厚的數(shù)據(jù)掩護(hù)履歷,團(tuán)結(jié)客戶實(shí)際環(huán)境和需求,輔佐浩瀚的客戶舉辦方案選型、籌劃設(shè)計(jì)及最終實(shí)施,取得了精采的結(jié)果。
