中了传说中的挖矿病毒

昨天上午收到同事反馈,客户应用系统响应很慢,重启了应用服务后还是一样,登录EM查看数据库发现等待较多,并将截图发了过来。

 

 从图中看到的是活动会话中CPU和IO占比较低,等待的很多。登录数据库查看发现没有持续的等待事件,也没有持续的锁阻塞的情况。感觉就像走路,走的慢但一直往前在走。

查看了内存和CPU使用情况如下

 

 已经使用了5.5g的swap,并且有持续的内存与swap的交换,CPU负载已满了,进程dbused占用了90%的CPU,oracle 用户居然在执行下载和上传,应该是中毒了,百度查了下居然是传说中的挖矿病毒。与以下链接问题基本一样。

 http://www.qishunwang.net/news_show_33418.aspx

总结:

1、dbused主进程会占满CPU,利用oracle激活,在oracle用户的.bash_profie中写入运行命令,在用oracle登录时触 发。

2、dbused在tmp目录中,运行后会删除dbused,源头是/tmp/.pwn/bprofr,要删除这个文件。

3、定时任务中有每分钟执行上传下传的命令,要删除此任务。

 

posted @ 2021-08-26 10:40  尘世间一个迷途小书童  阅读(685)  评论(0编辑  收藏  举报