（痛点切入+幽默化解）

“老板，咱服务器最近电费咋比双十一剁手还猛？”——如果你的服务器突然变卡、风扇狂转像拖拉机，别急着甩锅给程序员，它可能正在偷偷“挖矿致富”（可惜赚的不是你的钱）。今天咱就用“柯南式破案法”，带你看穿挖矿木马的伪装！（友情提示：文末有【一键排查脚本】福利哦~）

一、挖矿木马的“作案特征”（专业名词通俗化）

挖矿木马就像个996的虚拟矿工，疯狂占用你的CPU/GPU算力。它的经典犯罪证据有：

1. CPU占用异常飙车：平时稳如老狗的CPU突然冲到90%+，且找不到“正经程序”背锅。

*👉 举例*：某网友发现服务器`/usr/bin/.sshd`进程持续占CPU 150%…（正经sshd可没这么卷！）

2. 隐藏进程玩“变装”：伪装成`nginx`、`mysql`等正常服务，实际是`kworkerds`、`xmrig`等矿工马甲。

3. 网络连接暗度陈仓：疯狂连接境外IP（如俄罗斯、乌克兰），端口通常是3333、5555等矿池专用。

二、专业级检测四步走（附命令详解）

Step 1: CPU异常排查——TOP命令法

```bash

top -c -o %CPU

按CPU排序显示进程，-c显示完整命令

```

*🔍 破案重点*：盯紧陌生进程名、高CPU但无业务关联的进程（比如`/tmp/.X11-unix/.rsync`这种影帝级命名）。

Step 2: 揪出“变装大佬”——系统工具三件套

- PS命令查祖宗十八代：

```bash

ps auxf | grep -E 'xmrig|kworkerds|minerd'

常见挖矿关键词

```

- 文件指纹验明正身（用`md5sum`对比官方文件）：

md5sum /usr/bin/sshd

对比正常sshd的MD5值

Step3: 网络流量抓包——netstat+lsof组合拳

netstat -antp | grep ESTABLISHED

看异常外连

lsof -i :3333

查谁在用矿池端口

*💡 案例*：某企业内网服务器频繁连向185.71.65.92——实锤门罗币矿池！

Step4: “掘地三尺”找后门——定时任务+开机项

挖矿木马爱自启动，重点查：

crontab -l

用户定时任务

ls -la /etc/cron.* /var/spool/cron

系统级任务

systemctl list-units --type=service | grep enabled

服务项

三、高阶武器库（自动化工具推荐）

1. [ClamAV](https://www.clamav.net/)杀毒扫描：免费开源，专治各种不服。

```bash

sudo clamscan -r --remove /

全盘扫描并删除病毒

```

2. [rkhunter](http://rkhunter.sourceforge.net/) rootkit检测：对付内核级隐藏矿工。

3. [Lynis](https://cisofy.com/lynis/)安全审计：一键生成修复建议报告。

四、防御指南——让服务器“百毒不侵”

1. SSH密码别用123456（说的就是你！），改用密钥登录+Fail2Ban防爆破。

2. 定期更新补丁：老漏洞是挖矿木马的VIP通道。

3. 最小权限原则：数据库服务用低权限账户跑，别动不动就root！

段（互动+福利）

现在轮到你了！打开终端照着步骤排查，如果真抓到“矿工”，记得来评论区晒战绩~

🎁 懒人福利：私信回复【挖矿检测】获取我写的自动化排查脚本（附送修复教程）。下次再见时，希望你的服务器不再为别人“打工”！（溜了溜了~）

SEO优化备注:

- 含关键词+解决痛点疑问句；正文穿插「服务器挖矿」「检测工具」「CPU占用」等长尾词；结构清晰适合移动端阅读；幽默比喻提升停留时长。

TAG:怎么检查服务器挖矿,服务器挖矿效率,服务器挖矿能挖到什么,服务器挖矿犯法吗