安全通报

当前位置:首页 > 资 讯 > 安全通报

通知公告资源动态新闻动态安全通报

2018-2019-1第四期网络与信息安全简报

发布时间:2018-11-23 文章来源:信息服务中心 点击次数:

一、 安全漏洞

11月份上半月国内发生多起针对Oracle 数据库的勒索病毒案例,通过分析,该勒索病毒通过网络流传的“PL/SQL Developer破解版”进行传播;运维人员一旦使用带有病毒的“PL/SQLDeveloper破解版”连接Oracle数据,工具立即触发病毒文件在系统建立一系列的存储过程,判断数据库创建时间是否大于1200天,如大于等于1200天则使用truncate清空数据库。所以,该病毒在感染Oracle数据库后不会立即触发,具有较长的潜伏期。当用户访问被感染数据库时,将提示以下勒索信息: 

image.png 

自查方法:在Oracle Server端检查是否有下面几个对象:

对象名

对象内容

DBMS_SUPPORT_INTERNAL

TRIGGER

DBMS_SUPPORT_INTERNAL

PROCEDURE

DBMS_SYSTEM_INTERNAL

TRIGGER

DBMS_CORE_INTERNAL

TRIGGER

DBMS_SYSTEM_INTERNAL

PROCEDURE

DBMS_CORE_INTERNAL

PROCEDURE

DBMS_STANDARD_FUN9

PROCEDURE

    或使用如下查询语句:

select 'DROP TRIGGER '||owner||'."'||TRIGGER_NAME||'";' from dba_triggers where
TRIGGER_NAME like 'DBMS_%_INTERNAL%'
union all
select 'DROP PROCEDURE '||owner||'."'||a.object_name||'";' from dba_procedures a
where a.object_name like 'DBMS_%_INTERNAL% ';

请注意:% '之间的空格。

    执行上述语句后,若为空,表示你的ORACLE数据库是安全的,未中勒索病毒。

image.png

    检查自动执行脚本:检查PLSQL DEV安装目录,查找afterconnect.sql和login.sql文件。

其中afterconnect.sql文件默认是空白, 大小应是0字节,login.sql打开后只有一句注释“- -Autostart Command Window script ”,如果这两个文件里有其他内容,应怀疑是病毒。

二、防御情况(来自WAF、防火墙)

1、告警分类统计报表

image.png 

2、告警分类统计数据

image.png

    上半月,根据我校WAF防护结果统计,主要的攻击威胁如下

事件类型

事件次数

服务器信息泄露

1677652

COOKIE篡改

191959

HTTP访问控制事件

92766

HTTP协议违背

77498

爬虫事件

54353

资源盗链

50946

敏感信息过滤

10310

WEB构件漏洞攻击

1450

SQL注入攻击

524

WEB服务器漏洞攻击

184

总计

2157642

1)服务器信息泄露:共拦截1677652次;

2)Cookie篡改,共拦截191959次; 

3)HTTP访问控制事件,共拦截92766次。

4)HTTP协议违背:共拦截77498次;

5)爬虫事件,共拦截54353次;

3、防火墙黑名单

   根据WAF、防火墙的防护情况,针对频繁次数攻击威胁的公网IP进行拉黑处理,11月份上半月共拉黑地址19个。

三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告,上半月境内感染网络病毒的主机数量约为53万个。

上半月 CNCERT 监测发现境内被篡改网站数量为711个; 境内被植入后门的网站数量为1500个;针对境内网站的仿冒页面数量为2707个。

四、建议防范措施

根据我校11月份上半月整体网络与信息安全情况及外部网络威胁情况,针对本次Oracle数据库的勒索问题,希望各相关人员能提高日常运维安全意识,做好数据安全防范工作,数据要实时备份并且做好可用性测试。建议如下:

1、采用正版软件,规避未知风险。用户检查数据库工具的使用情况,避免使用来历不明的工具产品。

2、用户加强数据库的权限管控、生产环境和测试环境隔离,严格管控开发和运维工具。

3、定期进行信息安全风险评估。