数据库勒索病毒故障处理

问题描述：

2017-10-18 13:41:52应用反馈测试库连不上。

排查思路：

1，远程登录测试数据库服务器，sqlplus连接数据库，发现报错：

ORA-00604: error occurred at recursive SQL level 1

ORA-00018: maximum number of sessions exceeded

数据库连接数满了，这个库连接数是1000个，正常情况下还是有很空余的连接。肯定是有非正常连接导致。（这里怀疑是应用程序连接池设置太大没回收导致）

lsnrctl stop 停用监听。

通过ps -ef|grep LOCAL=NO查出不是本地连接的连接进程编号。

批量kill -9查询到的进程编号，释放部分空闲连接，

Sqlplus / as sysdba连接到数据库。

通过SQL>select count(*),program,machine from v$session group by program,machine order by 1 asc;查出连接数最多的程序，让开发重启程序。

重启之后，过一会发现连接还是进程数满，这时怀疑应该是其他问题，进一步检查连接的程序发现如下问题：

库中竟然有168个job进程在运行，这个似乎不合常理，这个时候怀疑是否是job异常或者job的bug造成的。

查看库中可并行执行job的个数：

SQL>show parameter job_queue_processes

NAME TYPE VALUE

------------------------------------ ----------- ------------------------------

job_queue_processes integer 1000

修改成为20，看库是否正常：

SQL>alter system set job_queue_processes=20 scope=both;

重启数据库，释放部分连接：

SQL>shutdown abort; --这里最好不要用immediate;

SQL>startup mount;

SQL>alter database open;

这个时候查询会话数，只有100多是正常范围。

打开监听，用plsqldev测试能否正常连接

lsnrctl start

这时用客户端plsql dev工具连接，登陆数据库。发现连接无响应，plsql dev卡死。

客户端tnsping Ip地址/orcl返回正常

远程连接到服务器，

服务端sqlplus / as sysdba --正常

切换应用账号conn syerp/*** --卡死

3，这时肯定是其他问题造成的，检查alert日志，查看是否有明显报错：

结合以前的经验发现，这个报错应该和盗版软件携带病毒有关。

解决办法：

手解决问题：

A，修改job_queue_process为0，禁止job的运行。

SQL>alter system set job_queue_process=0 scope=both ;

B，重启数据库

SQL>shutdowm abort;

SQL>startup mount;

SQL>alter database open;

C，找到最近新建的对象

Select * from dba_objects where to_char(created,’yyyymmdd’)=’20171018’;

D，删除这些对象

drop trigger syerp."DBMS_CORE_INTERNAL " ;

drop trigger syerp."DBMS_SUPPORT_INTERNAL " ;

drop trigger syerp."DBMS_SYSTEM_INTERNAL " ;

drop PROCEDURE syerp."DBMS_CORE_INTERNAL " ;

drop PROCEDURE syerp."DBMS_SUPPORT_INTERNAL " ;

drop PROCEDURE syerp."DBMS_SYSTEM_INTERNAL " ;

drop PROCEDURE syerp."DBMS_STANDARD_FUN9 " ;

F，删除创建的大量JOB：

select count(*) from dba_jobs

where schema_user='SYERP'

and what like 'DBMS_STANDARD_FUN9(%';

结果大概有8W多个。

分批批量删除：

select 'exec dbms_job.remove('||job||');'

from dba_jobs

where schema_user='SYERP'

and what like 'DBMS_STANDARD_FUN9(%' and rownum<5000;

E，确认被job truncate的表：

select * from dba_objects

where to_char(last_ddl_Time,'yyyymmdd')='20171018' and owner='SYERP'

还好并没有表被清理。

F，测试连接，一切正常

G，开启job数：

H：检查alert日志是否正常：

后续：

通过数据库的listener日志，检查在12:07左右有哪些人用plsql dev工具连接数据库。发现如下：（数据库没有开审计，只能从监听日志排查）

通过和该同事沟通，发现确实是使用不良的软件导致：

数据库勒索病毒故障处理相关推荐

中招ORACLE比特币勒索病毒——处理过程详解
目录病毒告警事件处理 1.修改job参数,防止病毒程序自启 2.杀掉job进程,停止正在运行的病毒程序自动任务 3.禁用数据库监听 4.杀LOCAL=NO的会话 5.查找病毒程序 6 ...
数据库比特币勒索病毒攻击警示，云和恩墨技术通讯六月刊精选
各位亲爱的用户/读者朋友们: 为了及时共享行业案例,通告共性问题,达成知识共享和提前预防,我们整理和编辑了<云和恩墨技术通讯>(6月刊),通过对过去一段时间的知识回顾和故障归纳,以期提供有 ...
超实用的脚本——检查oracle数据库是否存在潜伏的比特币勒索病毒
转载来源 : 超实用的脚本--检查oracle数据库是否存在潜伏的比特币勒索病毒 : http://www.safebase.cn/article-254989-1.html 概述分享一个工作中经常 ...
oracle中毒,oracle数据库中毒恢复 oracle数据库解密恢复服务器中勒索病毒解密恢复.Hermes666...
oracle数据库中毒恢复 oracle数据库解密恢复服务器中勒索病毒解密恢复.Hermes666 客户名称保密数据类型 oracle 11G 数据容量 100 gb 故障类型服务器中毒,文件 ...
服务器中勒索病毒解密恢复 SQL数据库中勒索病毒解密恢复 SQL数据库被加密恢复...
服务器中勒索病毒解密恢复 SQL数据库中勒索病毒解密恢复 SQL数据库被加密恢复前天接到一位客户求救说几台服务器都中招了,这个也很常见了.客户发来加密的MDF后,我们使用数据库修复软件任何一款 ...
SQL数据库修复教程-浪潮GS7.0中了后缀是.5ss5c勒索病毒修复过程
SQL数据库修复教程-浪潮GS7.0中了后缀是.5ss5c勒索病毒修复过程今天接到一个浪潮GS7.0的用户的求救电话,中了后缀是.5ss5c的勒索病毒,服务器里的所有文件被加密,重要的SQL数据库文 ...
达思SQL数据库修复软件1.7（支持碎片重组、支持勒索病毒加密的sql数据库修复软件）
达思SQL数据库修复软件(支持碎片重组,支持勒索病毒加密的修复) 达思SQL数据库修复软件 D-Recovery for MS SQL Server 界面达思SQL数据库修复软件(支持碎片重组,支持 ...
【数据库修复】Mallox勒索病毒家族的数据库文件可100%修复
目录前言:简介一.Mallox勒索病毒家族的.consultransom后缀勒索病毒是什么? 二.中了.consultransom后缀勒索病毒文件怎么恢复? 三.恢复案例介绍: 1. 被加密数据库 ...
一次ORACLE数据库的勒索病毒的处理
问题: ORACLE数据库的勒索病毒是一个老话题了,2016/2017年时候爆发过一波,当时主要是PLSQ DEV/TOAD等工具的登陆数据库脚本被注入病毒:近期又有客户中招,所幸发现及时,相应的存储 ...

数据库勒索病毒故障处理

数据库勒索病毒故障处理相关推荐

最新文章

热门文章