服务器被入侵、CPU异常飙升?挖矿木马入侵排查与完整清理方案

发布时间:2026/7/18 18:28:47

服务器被入侵、CPU异常飙升?挖矿木马入侵排查与完整清理方案
我最近在河南一家知名IDC公司郑州易方科贸861.cn托管的一台服务器 发现一个让人头皮发麻的故障。线上运维最典型的安全事故服务器无业务更新、无新上线功能CPU 突然 100% 跑满、负载飙升、业务卡顿、带宽异常占用。很多人第一反应是程序卡死、代码死循环重启服务器后短暂恢复过几小时再次满血复活。99% 这种反复复发的高负载都是服务器被植入挖矿木马、后门程序导致的入侵行为。黑客利用弱密码、漏洞、未授权端口、泄露密钥等方式拿下服务器植入挖矿程序、DDOS 肉鸡脚本、代理后门长期占用算力、偷跑流量、静默驻留。本文给你一套从快速判定、深度排查、彻底清理、防复发加固的完整入侵应急方案新手也能直接照着操作。一、先判断你的服务器是不是被入侵了正常业务 CPU 高是有规律、可解释的入侵挖矿 CPU 高是诡异、无脑、全天候满载。出现以下任意 3 条直接实锤入侵无业务峰值CPU 全天 90%–100%load 持续爆表top 出现陌生进程、乱码进程、伪装系统进程kworker、kdevtmpfsi、watchdog、minerd 等重启服务器后过一段时间自动复现高负载带宽流量深夜异常跑满无业务访问crontab、开机自启出现未知定时任务/tmp、/dev/shm 目录出现陌生可执行文件服务器 SSH 登录日志出现陌生异地 IP二、第一步快速定位恶意进程核心排查1. 查看 CPU 占用最高的可疑进程top -c # 按 P 键按 CPU 排序 # 或者直接命令列出CPU前十进程 ps aux --sort-%cpu | head -10挖矿木马常见进程名minerd、kdevtmpfsi、kworkerds、sysdk、watchdogs、redis3、nginx_update、java_upd等伪装名称。2. 追踪可疑进程真实文件路径很多木马伪装系统进程必须看真实执行路径# 替换 PID 为可疑进程ID ls -l /proc/PID/exe如果路径在/tmp、/dev/shm、/var/tmp100% 恶意木马。3. 查看异常对外连接肉鸡/后门实锤挖矿程序会持续连接境外矿池地址、黑客中控服务器ss -ntplu netstat -antp | grep ESTABLISHED出现大量陌生外网 IP 长连接、疑似矿池端口确认入侵。三、第二步深挖木马驻留根源为什么重启必复发只杀进程没用木马一定留了复活机制这是反复感染的核心原因。1. 检查定时任务最高频复活方式黑客基本都会植入定时任务每几分钟自动下载木马重启进程crontab -l ls /etc/cron.d/出现陌生定时脚本、随机字符任务、wget/curl 下载脚本全部为黑客后门。2. 检查开机自启与系统计划任务ls /etc/rc.local ls /etc/init.d/ systemctl list-unit-files | grep enabled陌生自启脚本、异常 service 文件都是驻留后门。3. 检查临时目录恶意文件木马最爱藏在无权限限制的临时目录ls /tmp ls /dev/shm ls /var/tmp出现随机名称可执行文件、sh 脚本、矿机程序全部删除。4. 检查 SSH 暴力破解痕迹last | head -20 grep Failed password /var/log/secure大量陌生 IP 爆破记录说明服务器是弱密码被撞库入侵。四、第三步完整清理流程彻底杀除木马遵循先断复活源、再杀进程、最后清文件的顺序否则杀完立刻复活。1. 暂停所有可疑定时任务crontab -r rm -rf /etc/cron.d/恶意任务名2. 强制杀死恶意进程kill -9 恶意PID # 批量查杀常见挖矿进程万能一键 ps aux | grep -E minerd|kdevtmpfsi|kworkerds|sysdk | grep -v grep | awk {print $2} | xargs kill -93. 清理所有木马文件rm -rf /tmp/* rm -rf /dev/shm/* rm -rf /var/tmp/*4. 修复系统权限与预加载后门高级木马会修改ld.so.preload劫持系统命令隐藏进程cat /etc/ld.so.preload非空即为劫持后门清空文件即可恢复echo /etc/ld.so.preload5. 重启服务器彻底清除内存残留清理完成后必须重启清除内存驻留恶意线程杜绝残留复活。五、第四步查找被入侵的真实漏洞杜绝二次中招木马清理完不代表安全不补漏洞24小时内必再次被入侵。99% 服务器挖矿入侵来自这 5 个漏洞SSH 弱密码简单密码被暴力爆破拿下权限Redis未授权访问漏洞批量植入挖矿脚本Nginx/中间件漏洞漏洞上传后门对外开放高危端口无防护暴露公网服务器长期不更新、内核漏洞六、终极加固方案从此杜绝挖矿入侵1. 彻底加固 SSH 安全修改高强度复杂密码关闭 root 远程登录开启 SSH 密钥登录关闭密码登录配置 SSH 登录白名单2. 关闭不必要公网端口云服务器安全组严格收紧只放行业务端口杜绝全端口开放。3. 加固中间件安全Redis、MySQL 禁止外网访问、设置密码、关闭未授权访问Nginx、PHP 定期更新版本修补漏洞4. 开启监控告警配置 CPU 持续高负载告警、异常连接告警、定时任务变更告警提前捕捉入侵行为。5. 禁止临时目录执行权限加固 /tmp、/dev/shm 挂载权限禁止执行脚本从源头封杀挖矿木马运行。总结莫名 CPU 飙升、重启复发、负载异常就是被挖矿入侵。排查核心口诀看进程、查外联、搜定时、清临时、修漏洞、强密码。

相关新闻

Linux iptables-save 命令超全详解:防火墙规则一键备份,运维必备

Linux iptables-save 命令超全详解:防火墙规则一键备份,运维必备

2026/7/17 14:29:22

1. 命令简介iptables-save 是一个用于导出 Linux 内核中 Netfilter/iptables 规则的工具。它能够将当前系统中配置的 iptables 规则集(包括各个表,如 filter、nat、mangle、raw 等)以可读的文本格式输出到标准输出(stdout&#xf…

3分钟终极指南:让Navicat Premium在macOS上永久免费试用

3分钟终极指南:让Navicat Premium在macOS上永久免费试用

2026/7/17 16:02:47

3分钟终极指南:让Navicat Premium在macOS上永久免费试用 【免费下载链接】navicat_reset_mac navicat mac版无限重置试用期脚本 Navicat Mac Version Unlimited Trial Reset Script 项目地址: https://gitcode.com/gh_mirrors/na/navicat_reset_mac 你是否曾…

留学赛道怎么做抖音?8人团队单月获客100+的秘密!

留学赛道怎么做抖音?8人团队单月获客100+的秘密!

2026/7/17 16:07:50

各位同行好,我是做新马留学的杨凯。今天不熬鸡汤,直接上数据:我们8人硕博团队,现在单个账号单月稳定获客100,销售转化率10%(十个精准线索成一单)! 能拿到这个结果,核心在…

开关电源Y电容的作用、接法与选型指南

开关电源Y电容的作用、接法与选型指南

2026/7/18 18:23:35

1. 开关电源中Y电容的核心作用解析在反激式开关电源设计中,Y电容(Y-Capacitor)是EMI滤波电路中最关键的安规元件之一。这个看似简单的小元件,实际上承担着三项重要使命:首先,它为高频共模噪声提供了低阻抗回…

猎头视角:2026年机器人行业人才趋势预测,企业正在争夺哪些核心人才?

猎头视角:2026年机器人行业人才趋势预测,企业正在争夺哪些核心人才?

2026/7/18 18:23:35

如果用一句话总结2026年的机器人行业人才市场:机器人企业正在从寻找技术人才,转向争夺能够推动商业化落地的人才。过去几年,机器人行业的关键词更多是:技术突破、模型创新、资本关注和产品验证。但进入2026年,行业正在…

可回收火箭技术:商业价值、核心突破与行业挑战

可回收火箭技术:商业价值、核心突破与行业挑战

2026/7/18 18:23:35

1. 可回收火箭技术的商业价值与行业现状SpaceX在2015年首次实现猎鹰9号一级火箭陆地回收的场景还历历在目,当时这枚火箭在完成发射任务后,像科幻电影般稳稳降落在卡纳维拉尔角的着陆场上。这个历史性时刻不仅标志着航天工业进入新纪元,更揭示…

2026 AI标书制作工具技术测评与选型方案|合规、精度、安全性深度调研

2026 AI标书制作工具技术测评与选型方案|合规、精度、安全性深度调研

2026/7/18 18:23:35

摘要:随着招投标行业数字化、AI智能化迭代,AI制标工具已成为政企投标、工程招投标、代理机构办公的刚需工具。当前市面工具品类繁杂,通用大模型套壳产品、无合规资质工具泛滥,极易引发标书漏项、AI幻觉废标、数据泄密、合规失效等…

0基础求职录音工具使用场景实用指南,看完就能直接上手操作

0基础求职录音工具使用场景实用指南,看完就能直接上手操作

2026/7/18 18:23:35

这就是给2026年零基础准备求职、刚入职需要学新岗位知识的新人整理的求职录音工具使用场景避坑指南,所有方法看完就能直接上手,不绕弯不搞复杂操作。如果你是被同事安利了一堆工具却不知道从哪下手,怕浪费时间试错,跟着走就能拿到…

微组装可靠性设计:失效模式与解决方案

微组装可靠性设计:失效模式与解决方案

2026/7/18 18:13:35

1. 电子微组装为何成为可靠性设计的"硬骨头" 十年前我刚入行时,电子组装还停留在毫米级封装的时代,当时用放大镜就能完成质检。如今在医疗植入器件里,一根发丝粗细的导线要承载30mA电流;航天器控制板上,0.3m…

Unity游戏文本翻译架构深度解析:XUnity.AutoTranslator的技术实现与工程实践

Unity游戏文本翻译架构深度解析:XUnity.AutoTranslator的技术实现与工程实践

2026/7/18 14:07:00

Unity游戏文本翻译架构深度解析:XUnity.AutoTranslator的技术实现与工程实践 【免费下载链接】XUnity.AutoTranslator 项目地址: https://gitcode.com/gh_mirrors/xu/XUnity.AutoTranslator XUnity.AutoTranslator作为Unity游戏社区中最成熟的文本翻译解决方…

openEuler Raspberry Pi Kernel设备驱动开发指南:为树莓派硬件添加支持

openEuler Raspberry Pi Kernel设备驱动开发指南:为树莓派硬件添加支持

2026/7/17 17:34:09

openEuler Raspberry Pi Kernel设备驱动开发指南:为树莓派硬件添加支持 【免费下载链接】raspberrypi-kernel It provides openEuler kernel source for Raspberry Pi 项目地址: https://gitcode.com/openeuler/raspberrypi-kernel 前往项目官网免费下载&…

openEuler系统集成测试实战:基于smoke-test套件的环境验证技巧

openEuler系统集成测试实战:基于smoke-test套件的环境验证技巧

2026/7/18 5:51:23

openEuler系统集成测试实战:基于smoke-test套件的环境验证技巧 【免费下载链接】integration-test The repo contains test suits for system integration test 项目地址: https://gitcode.com/openeuler/integration-test 前往项目官网免费下载:…

从模糊意图到可执行指令:Claude PRD中Prompt Engineering与需求颗粒度的5级映射法则

从模糊意图到可执行指令:Claude PRD中Prompt Engineering与需求颗粒度的5级映射法则

2026/7/18 0:02:02

更多请点击: https://kaifayun.com 第一章:从模糊意图到可执行指令:Claude PRD中Prompt Engineering与需求颗粒度的5级映射法则 在Claude驱动的产品需求文档(PRD)生成实践中,原始业务意图往往以自然语言片…

Cursor配置生成失效?3大隐藏陷阱+4行修复代码,资深工程师连夜整理的紧急补救清单

Cursor配置生成失效?3大隐藏陷阱+4行修复代码,资深工程师连夜整理的紧急补救清单

2026/7/18 0:02:02

更多请点击: https://codechina.net 第一章:Cursor配置生成失效?3大隐藏陷阱4行修复代码,资深工程师连夜整理的紧急补救清单 Cursor 配置生成突然失效,是近期高频报障场景。表面看是 cursor.config.json 未更新或 LSP…

某智驾大牛创业

某智驾大牛创业

2026/7/18 0:02:02

作者:钟声编辑:Mark出品:红色星际头图:智能驾驶图片据悉,国内某头部智驾公司端到端模型技术大牛Z投身创业,并且已经拿到融资。Z不仅是该头部公司内部最年轻的对标阿里P10级别技术负责⼈,更是业内…