
1. 挖矿脚本的典型特征与快速识别最近处理了几起服务器被植入挖矿脚本的案例发现很多运维人员直到电费暴涨才发现异常。其实挖矿脚本有几个非常明显的特征只要掌握这些特征5分钟内就能初步判断是否存在挖矿行为。最直观的表现就是CPU/GPU占用异常。正常业务服务器在空闲时CPU使用率通常在5%以下而被植入挖矿脚本后CPU使用率会长期保持在90%以上。我遇到过最夸张的案例是一台16核的服务器所有核心都被占满风扇狂转像直升机起飞。这时候执行top或htop命令通常会看到某个陌生进程独占CPU资源。另一个显著特征是网络连接异常。挖矿脚本需要与矿池服务器保持通信通过netstat -antp或ss -antp命令可以看到大量对外部IP的连接特别是那些知名矿池的IP比如xmrpool.eu、minexmr.com等。这些连接通常会使用非常规端口比如3333、5555、7777等。系统性能下降也是重要信号。服务器响应变慢SSH连接卡顿甚至业务服务出现超时。有次客户反映网站加载需要10秒以上排查后发现是挖矿脚本吃掉了所有计算资源。这时候用uptime查看负载平均值通常会显示远超CPU核心数的数值。提示建议将nethogs工具加入日常监控它能直观显示每个进程的网络流量挖矿脚本的网络行为会立即暴露。2. Windows系统挖矿应急处理实战上周帮某企业处理Windows Server被挖矿的案例很有代表性。管理员发现服务器风扇噪音突然增大任务管理器显示某个svchost.exe进程持续占用90%以上CPU。这种伪装成系统进程的行为很常见下面分享具体处理步骤。首先用Process Explorer替代任务管理器查看进程。微软官方出品的这个工具能显示进程的真实路径我们很快就发现这个svchost.exe实际位于C:\Users\Public\目录下。右键选择Properties查看详细信息在Image标签页确认了这是个恶意程序。接着用netstat -ano查看网络连接发现该进程正连接一个荷兰IP的3333端口。把这个IP放到微步在线的威胁情报平台查询确认是已知的XMR矿池节点。这时候需要立即采取措施# 终止恶意进程 taskkill /F /PID 1234 # 删除恶意文件 del /F /Q C:\Users\Public\svchost.exe # 检查计划任务 schtasks /query /fo LIST | findstr 可疑任务名权限维持是挖矿脚本的常见手法。我们在这台服务器发现了三个隐藏的持久化方式注册表启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run计划任务伪装成Adobe Acrobat Update的任务WMI事件订阅通过Get-WMIObject命令创建的后门彻底清理时需要检查这些位置。我习惯用Autoruns工具全面扫描启动项比手动检查更高效。最后别忘了检查防火墙规则有些挖矿脚本会添加放行规则。3. Linux系统挖矿脚本深度清除Linux服务器被挖矿的情况更复杂我遇到的大部分案例都是通过Web应用漏洞入侵的。最近处理的一个案例中攻击者利用Confluence漏洞上传了web shell然后部署了xmrig挖矿程序。定位挖矿进程是第一步。通过top发现有个名为kinsing的进程占用大量CPU用ps -aux | grep kinsing查看详细信息。更专业的做法是用strace -p PID跟踪进程的系统调用可以看到它在读取哪些配置文件。# 查找挖矿相关文件 find / -name *kinsing* -o -name *xmrig* -o -name *miner* # 检查异常定时任务 crontab -l ls -la /etc/cron* /var/spool/cron/crontabs这个案例中我们在/tmp/.kinsing目录发现了挖矿程序在/etc/cron.hourly发现了持久化脚本。更隐蔽的是攻击者还修改了/etc/ld.so.preload文件实现进程隐藏。彻底清除需要终止所有相关进程pkill -f kinsing删除所有相关文件清理定时任务和启动项恢复被篡改的系统文件检查SSH authorized_keys日志分析能帮我们找到入侵路径。在这个案例中/var/log/nginx/access.log显示攻击者利用了CVE-2022-26134漏洞。建议重点检查以下日志/var/log/auth.logSSH登录记录/var/log/secureRedHat系Web服务器访问日志最近修改的文件find / -mtime -74. 系统加固与防护建议清除挖矿脚本只是开始防止再次入侵才是关键。根据我的经验90%的挖矿事件都源于以下漏洞弱口令SSH/RDP/数据库未修复的Web应用漏洞配置不当的服务如Redis未授权访问基础加固措施包括修改所有默认密码启用SSH密钥认证及时更新系统和应用补丁限制SSH访问IP禁用root登录关闭不必要的端口和服务部署fail2ban防止暴力破解对于Web服务器我建议定期扫描Web漏洞如使用Nessus设置文件上传目录不可执行禁用危险函数如system、exec部署WAF防护常见Web攻击监控预警同样重要。可以配置以下检测规则CPU使用率持续超过80%时告警检测常见矿池域名解析请求监控/tmp和/var/tmp目录的可执行文件检查异常计划任务和启动项变更最后推荐几个实用工具chkrootkit/rkhunter rootkit检测Lynis系统安全审计ClamAV恶意文件扫描Osquery系统变更监控