Oracle蠕蟲(chóng)再次變異

歡迎進(jìn)入Oracle社區(qū)論壇，與200萬(wàn)技術(shù)人員互動(dòng)交流 >>進(jìn)入 一個(gè)流行的安全郵件列表中公布了一個(gè)新近發(fā)現(xiàn)的具有更大破壞力的Oracle航海家蠕蟲(chóng)版本的變體。 這個(gè)蠕蟲(chóng)病毒的新變體具有對(duì)公共數(shù)據(jù)庫(kù)用戶賬戶的訪問(wèn)權(quán)限，但是目前仍然缺乏能夠復(fù)制自身的機(jī)制，Ora

歡迎進(jìn)入Oracle社區(qū)論壇，與200萬(wàn)技術(shù)人員互動(dòng)交流 >>進(jìn)入

　　這個(gè)蠕蟲(chóng)病毒的新變體具有對(duì)公共數(shù)據(jù)庫(kù)用戶賬戶的訪問(wèn)權(quán)限，但是目前仍然缺乏能夠復(fù)制自身的機(jī)制，Oracle安全專(zhuān)家Pete Finnigan 在自己的博客中寫(xiě)道。

　　“這個(gè)新的Oracle航海家蠕蟲(chóng)變體是用PL/SQL編寫(xiě)的，并且利用了一些像我這樣的人通常用來(lái)撤銷(xiāo)公共賬戶訪問(wèn)權(quán)限的一些關(guān)鍵的內(nèi)建的包，例如UTL_HTTP, UTL_TCP 和 UTL_SMTP，” Finnigan 說(shuō)?！斑@是一個(gè)好的忠告，相信我!”

　　然而直到今天，還沒(méi)有任何的Oracle用戶被這種蠕蟲(chóng)攻擊過(guò)，報(bào)告說(shuō)。

　　航海家蠕蟲(chóng)的最初版本是在大概2個(gè)月前的一個(gè)完全揭露郵件列表中浮出水面的。專(zhuān)家們解釋說(shuō)，這種蠕蟲(chóng)使用UTL_TCP 包來(lái)掃描同一個(gè)網(wǎng)絡(luò)中的遠(yuǎn)程數(shù)據(jù)庫(kù)，然后登陸到其中的一個(gè)，檢索SID和用戶的幾個(gè)常見(jiàn)的用戶名和密碼來(lái)嘗試登陸。

　　位于美國(guó)馬里蘭州畢士達(dá)的SANS 因特網(wǎng)風(fēng)暴中心建議我們按照以下步驟來(lái)阻止蠕蟲(chóng)病毒的入侵和在首次出現(xiàn)之后的更進(jìn)一步的變異:

　　修改Oracle監(jiān)聽(tīng)器的TCP/1521的默認(rèn)端口(并且當(dāng)你正在執(zhí)行的時(shí)候，設(shè)置一個(gè)監(jiān)聽(tīng)器密碼)。

　　盡可能地刪除或者鎖定默認(rèn)的用戶帳號(hào)。確保所有的默認(rèn)賬戶都沒(méi)有使用默認(rèn)的密碼。

　　撤銷(xiāo)UTL_TCP, UTL_INADDR 包的PUBLIC權(quán)限。

　　撤銷(xiāo)分配給那些不需要鏈接到遠(yuǎn)程數(shù)據(jù)庫(kù)的用戶的CREATE DATABASE LINK 權(quán)限，包括CONNECT 的角色。

聲明：本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí)，若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com