昨天上午收到同事反馈,客户应用系统响应很慢,重启了应用服务后还是一样,登录EM查看数据库发现等待较多,并将截图发了过来。
从图中看到的是活动会话中CPU和IO占比较低,等待的很多。登录数据库查看发现没有持续的等待事件,也没有持续的锁阻塞的情况。感觉就像走路,走的慢但一直往前在走。
查看了内存和CPU使用情况如下
已经使用了5.5g的swap,并且有持续的内存与swap的交换,CPU负载已满了,进程dbused占用了90%的CPU,oracle 用户居然在执行下载和上传,应该是中毒了,百度查了下居然是传说中的挖矿病毒。与以下链接问题基本一样。
http://www.qishunwang.net/news_show_33418.aspx
总结:
1、dbused主进程会占满CPU,利用oracle激活,在oracle用户的.bash_profie中写入运行命令,在用oracle登录时触 发。
2、dbused在tmp目录中,运行后会删除dbused,源头是/tmp/.pwn/bprofr,要删除这个文件。
3、定进任务中有每分钟执行上传下传的命令,要删除此任务。
