昨天上午收到同事反饋,客戶應用系統響應很慢,重啟了應用服務后還是一樣,登錄EM查看數據庫發現等待較多,並將截圖發了過來。
從圖中看到的是活動會話中CPU和IO占比較低,等待的很多。登錄數據庫查看發現沒有持續的等待事件,也沒有持續的鎖阻塞的情況。感覺就像走路,走的慢但一直往前在走。
查看了內存和CPU使用情況如下
已經使用了5.5g的swap,並且有持續的內存與swap的交換,CPU負載已滿了,進程dbused占用了90%的CPU,oracle 用戶居然在執行下載和上傳,應該是中毒了,百度查了下居然是傳說中的挖礦病毒。與以下鏈接問題基本一樣。
http://www.qishunwang.net/news_show_33418.aspx
總結:
1、dbused主進程會占滿CPU,利用oracle激活,在oracle用戶的.bash_profie中寫入運行命令,在用oracle登錄時觸 發。
2、dbused在tmp目錄中,運行后會刪除dbused,源頭是/tmp/.pwn/bprofr,要刪除這個文件。
3、定進任務中有每分鍾執行上傳下傳的命令,要刪除此任務。
