oracle数据库被注入恶意攻击程序导致tab$被删除恢复方案
by 蔡建良 2019-2-25
经过长时间摸索,参考网上各类文章。今天终于让我成功恢复了oracle的sys.tab$表,并成功打开了数据库。
将此过程记录下来,与大家共享。如有疑问可联系我QQ: 304125648
sys.tab$表的恢复要点如下:
1) Tab$表删除后在行记录头部会标记0x7c,没删除前是0x6c。因此只要将找到所有tab$行记录将第一个字节改为0x6c就成功一大半的。
此处建议在linux中恢复数据。可采用虚拟机来创建oracle环境。
Oracle VM VirtualBox6.0+Centos7+oracle11g
安装涉及问题有:
(1) Xshell 5+Xftp 6组合,用来远程控制linux和传输文件。
(2) oracle 11g for linux bbed - Oracle BBED工具安装
l 将三个文件移到$ORACLE_HOME/rdbms/lib/ 目录下。
l $ mv bbedus.msb $ORACLE_HOME/rdbms/mesg/
l $ cd $ORACLE_HOME/rdbms/lib
l $ make -f $ORACLE_HOME/rdbms/lib/ins_rdbms.mk BBED=$ORACLE_HOME/bin/bbed $ORACLE_HOME/bin/bbed
l 安装成功登陆如下:
[oracle@bys3 ~]$ bbed
Password: 默认密码是:blockedit
l BBED> exit
oracle11g for linuxx64编译bbed需要的三个文件
删除tab$记录的恢复脚本文件
2) 禁用sys.tab$的索引I_TAB1:
//这样恢复,索引与表存在不一致情况,要禁用sys.tab$的索引I_TAB1.
BBED> assign /x dba 1,523 offset 4910= 0x3c
BBED> sum apply dba 1,523
BBED> verify dba 1,523
3) 由于Oracle数据库被注入触发器,因此必须禁用数据库的触发器。
所以总结解决办法如下(处理前最好进行备份):
1、 关闭数据库 shutdown immediate
2、 启动数据库到mount状态下 startup mount 执行以下语句
alter system set "_system_trig_enabled"=false scope=both;
4) Tab$表恢复后将SYSTEM01.dbf文件复制到原来的数据目录覆盖原有文件。
5) 重建控制文件。
6) Open数据库。
具体可参考:
https://www.cnblogs.com/lfree/p/10368150.html
https://www.cnblogs.com/lfree/p/10368158.html
https://www.cnblogs.com/lfree/p/10368167.html