oracle数据库被注入恶意攻击程序导致tab$被删除恢复方案

by 蔡建良 2019-2-25

经过长时间摸索,参考网上各类文章。今天终于让我成功恢复了oracle的sys.tab$表,并成功打开了数据库。

将此过程记录下来,与大家共享。如有疑问可联系我QQ: 304125648

sys.tab$表的恢复要点如下:

1) Tab$表删除后在行记录头部会标记0x7c,没删除前是0x6c。因此只要将找到所有tab$行记录将第一个字节改为0x6c就成功一大半的。

此处建议在linux中恢复数据。可采用虚拟机来创建oracle环境。

Oracle VM VirtualBox6.0+Centos7+oracle11g

安装涉及问题有:

(1) Xshell 5+Xftp 6组合,用来远程控制linux和传输文件。

(2) oracle 11g for linux bbed - Oracle BBED工具安装

将三个文件移到$ORACLE_HOME/rdbms/lib/ 目录下。

l $ mv bbedus.msb $ORACLE_HOME/rdbms/mesg/

l $ cd $ORACLE_HOME/rdbms/lib

l $ make -f $ORACLE_HOME/rdbms/lib/ins_rdbms.mk BBED=$ORACLE_HOME/bin/bbed $ORACLE_HOME/bin/bbed

安装成功登陆如下:
[oracle@bys3 ~]$ bbed
Password:            默认密码是:blockedit

l BBED> exit

oracle11g for linuxx64编译bbed需要的三个文件

 Xshell+Xftp组合安装包

删除tab$记录的恢复脚本文件

 

2) 禁用sys.tab$的索引I_TAB1:

//这样恢复,索引与表存在不一致情况,要禁用sys.tab$的索引I_TAB1.

BBED> assign /x  dba 1,523 offset 4910= 0x3c
BBED> sum apply dba 1,523
BBED> verify dba 1,523

 

3) 由于Oracle数据库被注入触发器,因此必须禁用数据库的触发器。

所以总结解决办法如下(处理前最好进行备份):

1、 关闭数据库  shutdown immediate

2、 启动数据库到mount状态下  startup mount  执行以下语句

alter system set "_system_trig_enabled"=false scope=both;

 

4) Tab$表恢复后将SYSTEM01.dbf文件复制到原来的数据目录覆盖原有文件。

5) 重建控制文件。

6) Open数据库。

具体可参考:

https://www.cnblogs.com/lfree/p/10368150.html

https://www.cnblogs.com/lfree/p/10368158.html

https://www.cnblogs.com/lfree/p/10368167.html

 

posted on 2019-02-25 04:21  janehlp  阅读(2692)  评论(0编辑  收藏  举报