應對「位元幣勒索」經驗分享

dbms_system_internal

dbms_standard_fun9

dbms_core_internal

三個觸發器則是：

資料庫啟動後觸發器dbms_support_internal

資料庫登陸觸發器dbms_system_internal

dbms_core_internal

確認問題後，採取手段緊急進行處理。

1. 發生故障時千萬不要慌張的去著急重啟資料庫，」dbms_support_internal 「通過「after startup on database」觸發器觸發；

2. 禁用資料庫監聽（rac環境下，監聽會自動重啟，為了安全起見禁用監聽），」dbms_system_internal 「和」dbms_core_internal 「分別通過資料庫登入行為和應用登入行為觸發；

3. 殺掉所有的外部連線，

4. 禁用病毒觸發器；

5. 設定資料庫job_queue_processes引數設定為0，禁用所有job執行。這個案例中，病毒在資料庫中建立了300多萬個「truncate table」job，一旦全部執行，後果不堪設想；

6. 找出病毒儲存過程和觸發器將其徹低刪除，刪除病毒job；

7. 刪除了病毒程式後，重啟資料庫並已唯讀模式開啟，儘量減少截斷表的使用空間被其他物件覆蓋的可能。

經過一系列的處理後，躁動的系統安靜了下來。我們開始進行系統受損程度的評估。

這是客戶的erp系統，系統中大概10多個schema，中毒的是其中第二大使用者。該使用者共有近2t的資料，接近6000張表，被截斷的表多達2800張。看到這個場景，即便是老司機如我們，也不由得瞠目結舌。

專家組短暫的討論後，開始尋求解決方案。

擺在我們面前有兩條路：

 第一種是通過資料備份進行不完全恢復，將資料庫恢復到故障前的正常時間點，但這個方案實施成功的難度非常大。通過抽樣調查，2800多張表並不是同乙個批次被截斷，需要精確定位每張表的截斷時間，並在恢復過程不斷推進，按批次匯出被截斷的表。不論是恢復時間還是技術手段上，都難以保障資料及時有效的恢復；

 第二是通過dul等資料抽取軟體，直接掃瞄資料檔案，將掃瞄出的資料匯入到資料庫。這種方式恢復時間相對較短，但不能完全保證資料的完整性，有些表資料可能無法恢復，前景也是充滿了變數。

討論下來，決定兩條路並行實施。劃分新的儲存空間，使用備份軟體進行資料恢復；同步的使用資料抽取軟體進行資料掃瞄。最終經過不懈的努力，終於在盡可能短的時間恢復了所有被截斷的表，而rman恢復，由於恢復速度只有不到20m，仍然在龜速進行中。

前事不忘後事之師，雖然最終是將資料找了回來，但這個案例中，仍然有很多地方值得我們總結：

 首先，應用賬號許可權分配過大。運維人員或者開發人員為了圖方便省事，通常賦予應用賬號dba許可權。如此給系統埋下了巨大的隱患，我們遇到很多開發人員誤刪資料庫表的案例，或多或少的都對業務系統造成了影響。本例中的病毒程式也是通過應用賬號建立了資料庫登入觸發器，從而導致事故的發生；

 其次，系統管理不規範。開發人員隨意使用第三方軟體連線生產資料庫進行操作，而這個過程沒有受到任何監督和管控。這個案例中，我們通過監聽日誌定位到故障時間段連線的主機，才找出事故的始作俑者；

 再次，資料備份非常的重要。隨著資料量的快速增長，傳統的備份技術已經難以滿足業務系統的需要。資料備份在很多客戶的體系中都是乙個擺設，關鍵時候難以發揮作用。這個案例中，客戶的資料庫備份要花3天時間，加上歸檔備份，耗時將近5天時間，不到萬不得已，大概沒有人願意採用這種恢復方式。關於資料保護，業界有很多的成熟方案。天璣科技資料庫專業服務團隊，結合自身豐富的資料保護經驗，結合客戶實際情況和需求，幫助眾多的客戶進行方案選型、規劃設計及最終實施，取得了良好的效果。

應對「位元幣勒索」經驗分享

WannaCry勒索位元幣蠕蟲病毒解決方案

WannaCry勒索位元幣蠕蟲病毒解決方案

位元幣挖礦和以太坊挖礦對比

應對「位元幣勒索」經驗分享

WannaCry勒索位元幣蠕蟲病毒解決方案

WannaCry勒索位元幣蠕蟲病毒解決方案

位元幣挖礦和以太坊挖礦對比

相關推薦