dbused把我的CPU占满了！linux服务器挖矿病毒的解决历程

现象描述

今天通过密钥以普通用户tung的身份登录远程Cent OS服务器时，连接出现非常严重的卡顿，进入后发现CPU被名为dbused的进程占满了！

reboot重启服务器之后，以root身份登录服务器，发现cpu是正常的。使用top命令查看，dbused并没有运行，但是时不时出现tung用户的bash进程和wget命令会运行。并没有登录tung用户，该用户的命令却时不时运行，这让我感到很奇怪。

此时登录tung用户后，dbused便立即执行并将整个CPU占满。看来dbused这个进程的启动跟用户tung的登录活动也是息息相关的。

解决历程

1）解决未登录用户却有该用户的bash和wget进程执行的问题

时不时出现tung用户使用bash命令和wget命令，怀疑存在定时任务，于是通过systemctl disable crond命令，禁止开机自动启动crond，reboot重启服务器，登录root用户，此时不再会有tung用户下的进程和命令出现。

crond是定时任务服务，有关命令补充如下：
systemctl start   crond    #启动服务
systemctl stop    crond    #关闭服务
systemctl restart crond    #重启服务
systemctl reload  crond    #重新载入配置
systemctl status  crond    #查看crontab服务状态
systemctl enable  crond    #开启开机自动启动
systemctl disable crond    #禁止开机自动启动

进入到定时任务的文件夹/var/spool/cron/下，发现确实存在一个tung用户的定时任务，于是乎将其删除。

2）解决一登录特定用户就会启动dbused并占满CPU的问题

只要一登陆tung用户，就会自动执行dbused，并把cpu占满，使用kill -9 <病毒PID>杀死之后就正常了，但下次再启动仍会执行。

这说明这一病毒的启动与用户的登录行为相关，查看/home/tung/.bash_profile文件发现了下面这一行异常代码：

在我之前的尝试中，曾定位到该进程的文件位置/tmp/dbused，但我却没有在/tmp/里找到它，现在清楚了原因：这一行命令首先将/tmp/.pwn/bprofr复制到/tmp/dbused，然后执行并将其删除掉了。也就是说，源头其实在这个隐藏文件夹下。

于是我将/tmp/.pwn/bprofr文件下载下来，并上传到 virustotal 上。嗯，是病毒软件实锤了。

将其删除并修改.bash_profile文件后，再重新登录该用户后就没有异常了。

现在又重新开启定时任务服务systemctl enable crond ，reboot重启之后也没有什么异常出现了。

总结

出现一些进程不该启动时却时不时启动，应当怀疑可能存在异常的定时任务，检查/var/spool/cron/目录。
特定用户登录时就自动执行的病毒，可以检查一下该用户目录下的.bash_profile文件是否异常。
通过各种方法定位到病毒文件的位置后，将其删除。

疑惑

这已经是服务器第二次遭遇挖矿病毒了，第一次遭遇的是kdevtmpfsi 病毒，当时还很单纯，服务器采用密码登录，估计密码被暴力破解了。在那之后改用仅限密钥登录了，服务器安稳过了一个月。但不知道为什么仍然遭到了病毒的攻击，可能是一些开放端口存在漏洞吧。

清理该病毒的过程中查阅了很多资料，这篇文章给我提供了比较大的帮助：阿里云服务器挖矿程序解决流程