一文看懂服务器挖矿攻击：发现-排查-处置-全流程

🧠 一、什么是服务器挖矿攻击？（你可能正在被“白嫖算力”）

服务器挖矿攻击（Cryptojacking）是指攻击者入侵服务器后，偷偷运行挖矿程序，持续消耗你的CPU、内存和带宽来赚钱。

👉 本质一句话：你的服务器 = 黑客的免费矿机

💰 常见挖矿币种（黑客最爱哪些？）

• Monero（门罗币）🕶️
• Ethereum Classic ⛏️
• Ravencoin 🔗
• Litecoin ⚡

👉 其中 Monero 是“隐身王者”，最难追踪。

🚨 二、服务器被挖矿的7大危险信号（90%的人忽略）

🔥 1、CPU长期100%爆表

top
htop

👉 特征：

• CPU持续90%+
• 空闲时也不降

🐢 2、业务突然变卡（但找不到原因）

• 网站变慢 🌐
• 数据库延迟 🗄️
• SSH卡顿 🔐
• 服务异常 💥

👀 3、出现“伪装进程”（最危险）

常见：

• xmrig
• kworker
• sysupdate
• watchdog

👉 关键点：名字越正常越危险

🌍 4、异常外联（连接矿池）

netstat -antp

👉 特征：

• 国外IP大量连接
• 长时间ESTABLISHED

💸 5、云服务器费用暴涨

• CPU计费上涨 📈
• 带宽异常增长 📊

🧨 三、服务器是怎么被入侵的？

🔓 1、弱口令爆破

root / 123456
admin / admin

👉 自动化扫描，几分钟破防

🧩 2、系统漏洞利用

• WebLogic
• Struts2
• Confluence
• Redis未授权

🌐 3、Web漏洞

• SQL注入 💉
• 文件上传 📁
• RCE ⚡

🐳 4、Docker / Redis暴露公网

2375 / 6379

👉 等于“裸奔服务器”

🔍 四、如何排查是否被挖矿？

⚙️ Step 1：查看CPU

top

📂 Step 2：定位进程文件

ls -l /proc/PID/exe

重点目录：

/tmp
/dev/shm
/var/tmp

⏱️ Step 3：检查定时任务

crontab -l

cat /etc/rc.local

🌐 Step 4：检查网络连接

netstat -antp

👤 Step 5：检查新增用户

cat /etc/passwd

🧯 五、发现挖矿后怎么处理？

🧊 Step 1：立即隔离

• 断公网
• 断业务

🧾 Step 2：保留证据

ps -ef
netstat -antp
top

❌ Step 3：结束进程

kill -9 PID

🧹 Step 4：清理持久化

• crontab
• systemd
• rc.local

🔧 Step 5：修复入口

• 改密码
• 修漏洞
• 升级系统

🛡️ 六、如何防止再次被挖矿？

🔐 1、关闭高危端口

22 / 6379 / 2375 / 9200

🔑 2、强密码策略

• ≥12位
• 混合字符

🧰 3、安装安全防护

• 云安全中心
• EDR
• 主机防护Agent

🧱 4、最小权限原则

👉 禁止 root 直接运行业务

📊 5、开启日志审计

• SSH登录
• Web访问
• 系统日志

🧾 七、总结

🚨 服务器挖矿 ≠ CPU高，而是“已被入侵”

出现以下情况：

• CPU异常
• 费用暴涨
• 不明进程
• 异常外联

👉 默认：服务器已被控制