關(guān)于比特幣攻擊Oracle數(shù)據(jù)庫的揭秘與防范

風險從來都不是臆想和草木皆兵，就在你不經(jīng)意的時刻，可能風險就突然降臨到我們的身邊。

2016年年底，國內(nèi)很多用戶的 Oracle 數(shù)據(jù)庫遭遇突如其來的比特幣攻擊事件，大家種種猜測、揣摩、重試，引發(fā)了一次小小的數(shù)據(jù)恐慌。直至今日，還有用戶爆發(fā)出該問題。現(xiàn)在我們再次回顧與總結(jié)，與中國的數(shù)據(jù)庫用戶們共為警醒。

我們知道，幾乎絕大多數(shù)數(shù)據(jù)庫的客戶端工具，在訪問數(shù)據(jù)庫時，都可以通過腳本進行一定的功能定義，而這些腳本往往就是安全問題的漏洞之一，黑客通過 JOB、觸發(fā)器、存儲過程對數(shù)據(jù)庫進行修改和破壞，手段非常初級，但是也非常巧妙。

問題癥狀

很多用戶在錄數(shù)據(jù)庫時發(fā)現(xiàn)該問題，數(shù)據(jù)庫應(yīng)用彈出“鎖死”提示，并且威脅說需要向黑客發(fā)送5個比特幣方可獲得解鎖。

在客戶端，可能獲得類似的提示信息：

除了這些警示和勒索信息，真正的攻擊是在數(shù)據(jù)庫中創(chuàng)建了大量的攻擊程序。

若攻擊的核心代碼包含以下語句，則會 Truncate 數(shù)據(jù)表：STAT：='truncate table '||USER||'.'||I.TABLE_NAME。

我們對事件進行了深入分析，找到問題的根本原因是用戶從互聯(lián)網(wǎng)上下載的盜版PL/SQL Developer 工具（尤其是各種綠色版、破解版），在使用工具的過程中用戶的權(quán)限自然被附體地進行了入侵。

受感染文件

在該軟件的安裝目錄有一個腳本文件 AfterConnect.sql， 正版軟件的這個文件為空，此時 AfterConnect.sql 開頭被偽裝成一個 login.sql 的腳本內(nèi)容，有清晰的注釋代碼：

實質(zhì)內(nèi)容被加密，用戶只能通過 unwrap 進行解密（要留意解密程序也可能存在惡意代碼）：

無疑，黑客是非常了解 Oracle 數(shù)據(jù)庫的，其腳本代碼的核心部分，解密后如下（做了刪減）：

同時，黑客非常專業(yè)，在程序的開端做了以下判斷：

也就是，判斷數(shù)據(jù)庫創(chuàng)建時間大于1200天，才開始動作（這個判斷相當有見地，小庫和新庫，數(shù)據(jù)少不重要，先放長線釣大魚），如果你的數(shù)據(jù)庫還沒有爆發(fā)，那可能是因為時間還沒有到。

如何應(yīng)對

如果數(shù)據(jù)庫遭遇到這個問題，可以將 JOB 參數(shù) job_queue_processes 設(shè)置為 0 ，屏蔽掉 JOB 的執(zhí)行，然后重啟數(shù)據(jù)庫。可以清除注入對象，這些對象可能包括以下同名觸發(fā)器和存儲過程：

數(shù)據(jù)安全的十六條軍規(guī)

安全防范 請從今日開始

這次數(shù)據(jù)庫安全事故，因為受害者眾多，引發(fā)了企業(yè)的普遍關(guān)注。有的企業(yè)甚至要求停用PL/SQL Developer這一工具。但是我們知道數(shù)據(jù)庫類似的門如此之多，如何能夠從根本上提升數(shù)據(jù)庫管理的安全，減少數(shù)據(jù)運維風險呢？

我曾在《數(shù)據(jù)安全警示錄》一書中總結(jié)了種種數(shù)據(jù)安全風險，提出了很多預(yù)防措施和手段，在此整理其中一些建議供大家參考。

數(shù)據(jù)安全可以基于五個緯度來梳理：軟件安全、備份安全、訪問安全、防護安全、管理安全。并據(jù)此建立相應(yīng)的安全防護措施。

在這五大方向中，可能出現(xiàn)兩種性質(zhì)的安全問題，第一，由于內(nèi)部管理不善而導致的數(shù)據(jù)安全問題；第二，由于外部惡意攻擊入侵所帶來的安全問題。通常我們把安全問題狹義化為后者，這實際上是片面的，在數(shù)據(jù)安全問題上，前者造成的數(shù)據(jù)損失、數(shù)據(jù)損毀，其發(fā)生率和影響度都遠遠超過后者。

在企業(yè)數(shù)據(jù)安全中，這五大方面是相輔相成、互有交叉、共同存在的，其中軟件安全是數(shù)據(jù)庫安全的基礎(chǔ)，而備份安全是最重要卻最容易被忽略的方面。有效備份才能在故障之后獲得及時的恢復和挽救。很多歷史事件表明，備份安全問題導致的企業(yè)傷害可能遠遠大于黑客攻擊。

針對本次的比特幣勒索事件，我抽取書中的觀點，總結(jié)提升數(shù)據(jù)庫安全的“16條軍規(guī)”供大家參考。

■備份重于一切：我曾經(jīng)在總結(jié)的DBA四大守則的第一條就指出，備份重于一切。對于重要的生產(chǎn)環(huán)境，適當建立備庫進行數(shù)據(jù)保護，查詢分擔，會減少生產(chǎn)庫的風險；而在故障發(fā)生時，有效備份可以保證系統(tǒng)獲得及時的恢復和挽救；

如果有什么會讓DBA們從夢中驚醒，那就是沒有備份！ 所以對于數(shù)據(jù)庫運維來說，第一重要的是做好備份，有備方能無患；

■嚴格管控權(quán)限：在進行用戶授權(quán)時一定要遵循最小權(quán)限授予原則，避免因為過度授權(quán)而帶來的安全風險。本次安全風險，如果用戶不具備DDL權(quán)限，那么也不會遭到風險；

■明確用戶職責：明確不同的數(shù)據(jù)庫用戶能夠用于的工作范圍，職權(quán)相稱，最大限度避免錯誤，降低風險。 即便是擁有管理員職責的用戶，也應(yīng)當遵循以不同身份執(zhí)行不同任務(wù)的習慣；

■密碼策略強化：毫無疑問，數(shù)據(jù)庫用戶應(yīng)當使用強化的密碼規(guī)則，確保弱口令帶來的安全風險，很多數(shù)據(jù)泄露問題來自弱口令攻擊和提權(quán)；

■限制登錄工具：明確限制不同工具的使用場景，規(guī)定工具的準確來源，或者通過堡壘機等來限制數(shù)據(jù)庫訪問。對于工具也可以做出相應(yīng)規(guī)則和限制，以減少安全風險甚至誤操作風險；

■禁止遠程DDL：可以限制DDL操作僅能在數(shù)據(jù)庫服務(wù)器本地進行，禁止遠程連接執(zhí)行DDL操作，這一手段在很多公司被嚴格執(zhí)行，如果具備這一規(guī)則，此次的事故可以被直接屏蔽掉；

■使用綁定變量：在開發(fā)過程中，嚴格使用綁定變量，可以防范SQL注入攻擊，減少數(shù)據(jù)庫安全風險；這次安全事故，很多用戶一開始都猜測是SQL注入，走了很多分析上的彎路；

■監(jiān)控監(jiān)聽日志：監(jiān)聽日志記錄了數(shù)據(jù)庫訪問的來源、程序等信息，包括惡意掃描，密碼嘗試等，一定要重視監(jiān)聽日志的作用，并對其進行分析和監(jiān)控，以清楚的匯制數(shù)據(jù)庫訪問圖譜；

■數(shù)據(jù)網(wǎng)絡(luò)隔離：數(shù)據(jù)庫的網(wǎng)絡(luò)環(huán)境應(yīng)該一直隱藏在最后端，避免將數(shù)據(jù)庫置于直接的訪問連接之下，由此可以減少數(shù)據(jù)庫的訪問風險；

■測試和生產(chǎn)隔離：互通就意味著同時可以訪問，也就可能帶來很多意想不到的風險，企業(yè)應(yīng)當進行分離部署，一方面可以降低誤操作的可能性，也可以屏蔽一些無關(guān)的訪問，從而從網(wǎng)絡(luò)鏈路上保證數(shù)據(jù)安全；

■密碼差異設(shè)置：有些測試環(huán)境或者非產(chǎn)品環(huán)境是利用產(chǎn)品環(huán)境恢復得到的，DBA在建立了測試環(huán)境后，就沒有修改數(shù)據(jù)庫用戶的登錄密碼，而也習慣在所有環(huán)境中設(shè)置通用的密碼。這些習慣為系統(tǒng)帶來了很多風險。 建議用戶在不同環(huán)境中采用不同的密碼設(shè)置，進一步降低了DBA在錯誤的環(huán)境下執(zhí)行命令的可能性；

■重要數(shù)據(jù)加密：很多重要數(shù)據(jù)需要加密存儲，最典型的就是用戶和密碼信息，大量的泄密事件本質(zhì)上是因為缺乏最基本的加密防范，對重要數(shù)據(jù)實施一定的安全防護加密，是應(yīng)當予以適時考慮的安全方面之一；

■適時的軟件升級：這里的軟件指數(shù)據(jù)庫軟件，尤其是當Oracle已經(jīng)發(fā)布了安全補丁，已知的安全漏洞被黑客利用，則更可能對數(shù)據(jù)庫產(chǎn)生致命的傷害；

■防范內(nèi)部風險：不可否認，絕大部分安全問題都來自于企業(yè)內(nèi)部，來自最緊密、最輕易的接觸和訪問，企業(yè)的人員變動、崗位變更，都可能導致數(shù)據(jù)安全問題的出現(xiàn)，單存依靠對管理員的信任不足以保障數(shù)據(jù)安全，必須通過規(guī)章、制度與規(guī) 范的約束才能夠規(guī)避安全風險；

■樹立安全意識：安全問題最大的敵人是僥幸，很多企業(yè)因為僥幸造成了數(shù)據(jù)的損失。一點一滴加強安全意識，逐步完善安全措施；

■開始安全審計：以O(shè)racle數(shù)據(jù)庫為例，數(shù)據(jù)庫已經(jīng)提供了很多安全防范的手段和方法，我們建議用戶適當展開安全防范措施，開啟部分任務(wù)審計，定期分析數(shù)據(jù)庫風險，由此逐步完善數(shù)據(jù)庫安全。