一、 安全漏洞

11月份上半月国内发生多起针对Oracle 数据库的勒索病毒案例，通过分析，该勒索病毒通过网络流传的“PL/SQL Developer破解版”进行传播；运维人员一旦使用带有病毒的“PL/SQLDeveloper破解版”连接Oracle数据，工具立即触发病毒文件在系统建立一系列的存储过程，判断数据库创建时间是否大于1200天，如大于等于1200天则使用truncate清空数据库。所以，该病毒在感染Oracle数据库后不会立即触发，具有较长的潜伏期。当用户访问被感染数据库时，将提示以下勒索信息： 

自查方法:在Oracle Server端检查是否有下面几个对象：

    或使用如下查询语句：

select 'DROP TRIGGER '||owner||'."'||TRIGGER_NAME||'";' from dba_triggers where
TRIGGER_NAME like 'DBMS_%_INTERNAL%'
union all
select 'DROP PROCEDURE '||owner||'."'||a.object_name||'";' from dba_procedures a
where a.object_name like 'DBMS_%_INTERNAL% ';

请注意：% '之间的空格。

    执行上述语句后，若为空，表示你的ORACLE数据库是安全的，未中勒索病毒。

    检查自动执行脚本:检查PLSQL DEV安装目录，查找afterconnect.sql和login.sql文件。

其中afterconnect.sql文件默认是空白， 大小应是0字节，login.sql打开后只有一句注释“- -Autostart Command Window script ”，如果这两个文件里有其他内容，应怀疑是病毒。

二、防御情况（来自WAF、防火墙）

1、告警分类统计报表

2、告警分类统计数据

    上半月，根据我校WAF防护结果统计，主要的攻击威胁如下

1）服务器信息泄露：共拦截1677652次；

2）Cookie篡改，共拦截191959次； 

3）HTTP访问控制事件，共拦截92766次。

4）HTTP协议违背：共拦截77498次；

5）爬虫事件，共拦截54353次；

3、防火墙黑名单

   根据WAF、防火墙的防护情况，针对频繁次数攻击威胁的公网IP进行拉黑处理，11月份上半月共拉黑地址19个。

三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告，上半月境内感染网络病毒的主机数量约为53万个。

上半月 CNCERT 监测发现境内被篡改网站数量为711个； 境内被植入后门的网站数量为1500个；针对境内网站的仿冒页面数量为2707个。

四、建议防范措施

根据我校11月份上半月整体网络与信息安全情况及外部网络威胁情况，针对本次Oracle数据库的勒索问题，希望各相关人员能提高日常运维安全意识，做好数据安全防范工作，数据要实时备份并且做好可用性测试。建议如下：

1、采用正版软件，规避未知风险。用户检查数据库工具的使用情况，避免使用来历不明的工具产品。

2、用户加强数据库的权限管控、生产环境和测试环境隔离，严格管控开发和运维工具。

3、定期进行信息安全风险评估。