求助服务器被挖矿程序入侵，如何排查

 新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

 

SSH远程登录客户的Linux服务器，查看当前的进程发现有一个特别的进程占用了百分之100

的CPU，而且会持续不断的占用，我们查了查该进程，发现不是linux的系统进程，我们对进程

的目录进行查看，发现该进程是一个木马进程，再仔细进行安全分析，才确定是目前最新的挖

矿木马病毒，挖的矿分很多种，什么比特币，什么罗门币的，太多太多，看来现在的挖矿技术

扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

 

我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器，看

里面写的代码是以root权限运行，并自动启动计划任务，当服务器重启时继续执行计划任务，

导致客户怎么重启都于事无补，还是卡的要命。该木马代码还调用了一些Linux系统命令，bashe

bashd来挖矿，该命令是最直接也是占用CPU到顶峰的关键，太粗鲁了，这样的挖矿本身就会让

客户发现问题，看来挖矿者只顾着赚钱，不考虑长久之道了。

 

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

你好，一般服务器如果感染了蠕虫病毒（尤其是网络蠕虫）有可能会感染给客户机，但是首先还是需要确定你的服务器中是否有蠕虫病毒。

所以，建议你使用杀毒软件对服务器进行病毒检测，最好把病毒库更新到最新。

因为蠕虫病毒不是很特殊的病毒，一般杀毒软件都可以检测出来，所以如果你确实没有扫描出，那么可能他们找出的蠕虫是误报。

有其他问题欢迎到电脑管家企业平台咨询，我们将竭诚为您服务！

电脑管家企业平台：http://zhidao.baidu.com/c/guanjia

腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

蠕虫病毒可以通过电子邮件、即时通讯软件、P2P、电脑漏洞、搜索引擎这五种网络传播方式。

一、电子邮件

通过电子邮件传播的蠕虫以附件或信件的形式包含受蠕虫感染的网站链接地址。当用户单击阅读附件时，蠕虫被激活，或者当用户单击受蠕虫感染的网站链接时，蠕虫被激活。

二、即时消息软件

蠕虫病毒是指利用QQ、微信等即时通讯软件，通过对话窗口向网友发送欺骗性信息。此信息通常包含一个超链接，单击该链接并启动iele以连接到此服务器，下载链接的病毒页面。此病毒页面包含恶意代码，将下载并运行该蠕虫。这就完成了传播。然后，基于机器，向机器上发现的朋友发送同样的欺骗信息，并继续传播蠕虫。

三、对等网络

P2P蠕虫是一种利用P2P应用协议和程序的特点，在P2P网络中存在易受攻击的应用程序。根据P2P蠕虫发现目标并激活目标的方式，将其分为伪装、沉默和主动三种类型。

四、计算机漏洞

漏洞传播蠕虫是一种基于漏洞的蠕虫，一般分为两类：基于Windows共享网络和unix网络文件系统（NFS）的蠕虫；基于操作系统或网络服务漏洞的蠕虫。

五、搜索引擎

基于搜索引擎传播的蠕虫病毒，它通常携带与漏洞相关的关键字列表。通过使用此列表在搜索引擎上搜索，当在搜索结果中发现存在漏洞的主机时，它可能会受到攻击。在整个传播过程中，它与正常的搜索请求是一样的。所以在正常交通中很容易混在一起，而且很难找到。

扩展资料：

蠕虫病毒的防范措施：

一、防范邮件蠕虫的最好办法，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。

二、防范聊天蠕虫的主要措施之一是提高安全意识。任何通过聊天软件发送的文件在运行前都要经过朋友的确认，不要随意点击聊天软件发送的网络连接。

三、选择合适的杀毒软件，必须开发成内存实时监控和电子邮件实时监控。

四、经常升级病毒库。

参考资源来源：

百度百科—蠕虫病毒

---