异常SQL查询应急处置

事件信息

企业怀疑内网主机被植入木马，作为跳板，利用应用SQL注入漏洞批量盗取数据。

现象描述

企业通过数据库审计设备发现内网某台主机有异常SQL查询行为，并非人为操作，查询语句如下：

select xxx from xxx where owner = 'XXX'and object_type = 'XXX'and object_name = 'XXX'

通过进一步排查发现，该主机上的PL/SQL Developer工具每隔30秒会发送一条select语句，但该语句本身不会对数据库造成任何严重影响。

处置过程

首先，通过分析数据库审计日志，应急处置人员发现最早出现此类现象的时间是在3月31日，约有15条记录，从4月2日起，每天会产生数百条类似查询语句记录，而且源地址不只一个。

通过分析3月31日日志，应急人员定位到日志中源地址所属主机，并查看了该主机上安装的PL/SQL Developer工具，发现其安装的是从官网下载的PL/SQL Developer工具，并未携带后门程序。随后，又针对该主机系统进行了排查，未发现恶意文件和异常登录行为。

于是，应急人员又重新对数据库审计日志进行分析，发现了一个很有趣的规律，此类SQL查询语句并不是由所有受影响主机同时发送的，而是某一台主机发送一段时间后，再由另外一台主机接着继续发送，依次进行。

应急人员初步判断这些主机上的PL/SQL Developer工具存在某种逻辑关系。应急人员摘取了该SQL查询语句，同数据库运维人员进行分析。

最后，猜想造成该现象可能原因是由于PL/SQL Developer工具的一个数据修改跟踪刷新的特性。

原理分析

A主机和B主机同时使用PL/SQL Developer工具打开某个数据存储脚本文件，如果B主机修改了该脚本文件，那么A主机上的PL/SQL Developer工具为了保证数据的同步更新，就会每隔30秒请求访问一次该脚本文件内容，并与本地打开的脚本文件内容进行比较，如果发现内容更新，就会通知A主机，并询问是否重新加载该文件。

事件结论

为验证该猜想，应急人员配合数据库运维人员进行了现场演示操作，并在数据库审计上进行实时监控，发现与前期现象吻合，正是由于PL/SQL Developer工具这种同步更新的特性，导致了会出现30秒轮询的数据库请求发生，最终判定不是安全事件。