dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程

时间:2021-2-27 作者:admin

dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程

现象描述

今天通过密钥以普通用户tung的身份登录远程Cent OS服务器时,连接出现非常严重的卡顿,进入后发现CPU被名为dbused的进程占满了
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程
reboot重启服务器之后,以root身份登录服务器,发现cpu是正常的。使用top命令查看,dbused并没有运行,但是时不时出现tung用户的bash进程和wget命令会运行。并没有登录tung用户,该用户的命令却时不时运行,这让我感到很奇怪。

此时登录tung用户后,dbused便立即执行并将整个CPU占满。看来dbused这个进程的启动跟用户tung的登录活动也是息息相关的

解决历程

1)解决未登录用户却有该用户的bash和wget进程执行的问题

时不时出现tung用户使用bash命令和wget命令,怀疑存在定时任务,于是通过systemctl disable crond命令,禁止开机自动启动crond,reboot重启服务器,登录root用户,此时不再会有tung用户下的进程和命令出现。

crond是定时任务服务,有关命令补充如下:
systemctl start   crond    #启动服务
systemctl stop    crond    #关闭服务
systemctl restart crond    #重启服务
systemctl reload  crond    #重新载入配置
systemctl status  crond    #查看crontab服务状态
systemctl enable  crond    #开启开机自动启动
systemctl disable crond    #禁止开机自动启动

进入到定时任务的文件夹/var/spool/cron/下,发现确实存在一个tung用户的定时任务,于是乎将其删除。
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程

2)解决一登录特定用户就会启动dbused并占满CPU的问题

只要一登陆tung用户,就会自动执行dbused,并把cpu占满,使用kill -9 <病毒PID>杀死之后就正常了,但下次再启动仍会执行。
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程
这说明这一病毒的启动与用户的登录行为相关,查看/home/tung/.bash_profile文件发现了下面这一行异常代码:
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程
在我之前的尝试中,曾定位到该进程的文件位置/tmp/dbused,但我却没有在/tmp/里找到它,现在清楚了原因:这一行命令首先将/tmp/.pwn/bprofr复制到/tmp/dbused,然后执行并将其删除掉了。也就是说,源头其实在这个隐藏文件夹下。

于是我将/tmp/.pwn/bprofr文件下载下来,并上传到 virustotal 上。嗯,是病毒软件实锤了。
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程
将其删除并修改.bash_profile文件后,再重新登录该用户后就没有异常了。

现在又重新开启定时任务服务systemctl enable crond ,reboot重启之后也没有什么异常出现了。

总结

  1. 出现一些进程不该启动时却时不时启动,应当怀疑可能存在异常的定时任务,检查/var/spool/cron/目录。
  2. 特定用户登录时就自动执行的病毒,可以检查一下该用户目录下的.bash_profile文件是否异常。
  3. 通过各种方法定位到病毒文件的位置后,将其删除。

疑惑

这已经是服务器第二次遭遇挖矿病毒了,第一次遭遇的是kdevtmpfsi 病毒,当时还很单纯,服务器采用密码登录,估计密码被暴力破解了。在那之后改用仅限密钥登录了,服务器安稳过了一个月。但不知道为什么仍然遭到了病毒的攻击,可能是一些开放端口存在漏洞吧。

清理该病毒的过程中查阅了很多资料,这篇文章给我提供了比较大的帮助: 阿里云服务器挖矿程序解决流程

声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。