记一次dbused病毒处理事件

一枝梅 3天前 ⋅ 15 阅读

早晨起来之后听到笔记本风扇的声音特别大,这说明电脑cpu正在疯狂的跑着什么程序,打开控制台,top命令看了下,有个异常程序dbused占用了将近200%的cpu使用率,不用想,肯定中病毒了。

2021-10-14_090539

一、问题排查

这让我想起了之前电脑中的病毒,那次中的病毒是redis容器引进来的,那次cpu直接全部打满了,这次不知道是不是它,使用命令find / -name "dbused"全盘查找dbused程序的位置

2021-10-14_093501

发现这次中病毒还是docker容器引入的,从网上查了下,dbused这玩意还是挖矿程序,接下来得排查下这个overlay2是谁占用的

运行命令

docker ps -q | xargs docker inspect --format '{{.State.Pid}}, {{.Name}}, {{.GraphDriver.Data.WorkDir}}' | grep "a311a9faab90e6ad3693fdb15e8a5683c2e79207d5d842be8472c50a44f20c8e"

查找结果如下

2021-10-14_095604

可以看到,这次是confluence容器引入的。之前使用docker搭建了confluence,没想到竟然被塞了病毒。。。

二、问题解决

1.直接kill掉dbused进程

2.使用命令docker exec -it confluence /bin/bash进入容器,到/tmp目录下查找问题进程

image-20211014102233069

果然,发下了目标程序,在十月13日晚上被植入的,从时间上来看,bashirc和dbused文件是同一时间创建的,那就将其一起删除

bash-4.4# rm -rf dbused
bash-4.4# rm -rf bashirc

3.看看是不是有crontab定时任务

运行命令crontab -l

image-20211014102758624

果然有定时任务在跑,删除所有定时任务

crontab -r

最后,检查下bashrc、profile等文件,如果没有异常,就没问题了。


20211015,今天早上起来发现dbused进程又起起来了,没得办法,删除了confluence容器,重建之后就好了。幸好数据进行了挂载,数据都没丢,大概这也是使用docker的好处之一吧


#confluence #docker
我有话说:

全部评论: 0

    文章目录