查询存储过程与触发器删除
select 'DROP TRIGGER '||owner||'."'||TRIGGER_NAME||'";' from dba_triggers where
TRIGGER_NAME like 'DBMS_%_INTERNAL% '
union all
select 'DROP PROCEDURE '||owner||'."'||a.object_name||'";' from dba_procedures a
where a.object_name like 'DBMS_%_INTERNAL% ';
存储过程
1. DBMS_SUPPORT_INTERNAL
2. DBMS_STANDARD_FUN9
3. DBMS_SYSTEM_INTERNA
4. DBMS_CORE_INTERNAL
触发器
5. DBMS_SUPPORT_INTERNAL
6. DBMS_ SYSTEM _INTERNAL
7. DBMS_ CORE _INTERNAL
检查plsqldev 下的 AfterConnect.sql 和 Login.sql 正常情况下,里面没有代码,可以删除这两个文件
是有人将利用了 plsql 执行连接解本的原理
对 AfterConnect.sql 写入了创建 存储过程与触发器的恶意 sql 代码
上传到 csdn 上,供人下载
这也触发器不断的增加日志,可以使用系统越来越慢,最重崩溃
其中最恶意的是当到过数据库创建日志 1200天后
他有清空数据表的操作
解决起来也很容易
在1200天之前,如果删除掉那些存储过程与触发器即可
1200天之后,就需要有自己的备份文件了
我们有阿里磁盘快照
很容易恢复被清空的表
他勒索 5个比特币
其实给了钱给他,也没有用
如果没有备份的话,对方也恢复不了你的数据
如果是通过硬盘磁道那种高技术的方式恢复
成本很高,还不一定能完全恢复
所以他就是个骗子,无赖
给了钱也恢复不了他清空的数据
他只是简单的利用了 plsql 的连接执行脚本
没有任何网络操作
清空掉的数据也没有回传出去
也不是加密数据库中的数据
因为他只是利用了存储过程与触发器
做不了更多的事情
手段就想当于,给一台机器开始运行时,增加一个 bat, 里面 写入 格式化磁盘的代码