求助服务器被挖矿程序入侵，如何排查

 新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

 

SSH远程登录客户的Linux服务器，查看当前的进程发现有一个特别的进程占用了百分之100

的CPU，而且会持续不断的占用，我们查了查该进程，发现不是linux的系统进程，我们对进程

的目录进行查看，发现该进程是一个木马进程，再仔细进行安全分析，才确定是目前最新的挖

矿木马病毒，挖的矿分很多种，什么比特币，什么罗门币的，太多太多，看来现在的挖矿技术

扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

 

我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器，看

里面写的代码是以root权限运行，并自动启动计划任务，当服务器重启时继续执行计划任务，

导致客户怎么重启都于事无补，还是卡的要命。该木马代码还调用了一些Linux系统命令，bashe

bashd来挖矿，该命令是最直接也是占用CPU到顶峰的关键，太粗鲁了，这样的挖矿本身就会让

客户发现问题，看来挖矿者只顾着赚钱，不考虑长久之道了。

 

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

有位朋友说，他服务器使用的好好的，服务商突然封了他服务器，说是被检测出挖矿，这位朋友一脸懵“我开游戏的，挖什么矿”。突然地关停服务器导致这位朋友损失惨重，那么为什么会被检测出挖矿，以及怎么处理呢？感兴趣的话就继续往下看吧~

遇到以上问题，需要先找服务器商对其说明实际情况，配合他们排查，基本上就是中了挖矿病毒。

最简单的方法就是重装系统，但是系统盘数据都会清空，这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统，需要把自己的文件扫毒一遍确认安全后再导入服务器。

但是服务器里如果有很多重要的文件还有比较难配置的环境，那就需要排查删除挖矿程序，全盘扫毒，删除可疑文件，一个个修复病毒对系统的修改。

防范建议：

1.尽量不要使用默认密码和端口，改一个比较复杂的密码

2.可以使用宝塔面板登陆服务器

3.系统自带的防火墙、安全防护都不要关闭

蔚来汽车内部员工利用服务器挖矿，其行为在刑事法律上应该被定性为非法控制计算机信息系统罪，其行为在民事法律上也对其所在公司有财产侵权行为，所以也有可能需要承担民事法律责任。

近日，有社交博主在社交平台上发布了未来汽车某个员工利用服务器挖矿的秘闻，不少的人都被震惊到了，原来大公司的人也需要靠挖矿来维持生计，这可真的是相当不容易。然而大家更关注的则是该员工涉及的法律问题有哪些，毕竟该员工已经在公司利用公司的电脑系统挖了一年的矿了，公司的管理人员如果不是在其他人举报的情况下可能还不会发现这种违规违法的事情。话说回来，该员工的行为肯定是涉及民事上的和刑事上的法律问题的，我们必须清晰知道这一点。

刑事法律定性：非法控制信息系统罪

在刑事法律中有一个罪叫做非法控制信息系统罪，一般而言，如果侵入的计算机系统不是国家等相关部门的公务系统，那么基本上都属于非法控制信息系统罪。在这个罪名当中，法律就规定非法控制他人信息系统的也算是其中一种行为。蔚来汽车内部员工利用的就是其集群信息网管理员的身份偷偷潜入自己公司内部的网络系统，同时通过隐藏的手段让公司无法得知自己在偷用公司网络，这就属于一种非法控制他人信息系统的行为，他有可能构成非法控制信息系统罪。

民事法律定性：财产侵权行为

然而除了涉及刑事犯罪以外，该员工的行为肯定也涉及民事侵权行为。首先，该员工在未得到公司许可的情况下偷用公司的电脑，这本身就是一种对公司财产的侵权。其次，该员工的行为是违反公司相关规定的，这也有可能导致其违反公司法的相关规定。所以说，无论未来汽车公司有没有将该员工扭送到公安部门，该员工也必然是要赔偿公司损失的。

---