今天一起看看一些简单的入侵溯源是怎么做的，帮助大家进一步了解这方面的内容，建立兴趣。

一般来说，对于普通用户，溯源的目的更多的是清理已经植入服务器的各种病毒，找到入侵源头，也就是黑客是通过什么漏洞入侵服务器，而这次要讲的溯源经历就是一起服务器被入侵挖矿溯源的经历，正好贴合这次分享的内容。

故事的开始是这样的...

在某一个天和日丽的晚上，抱歉，晚上没有太阳。在某个夜黑风高的晚上，我准备把最近写的用来爬取美丽小姐姐照片的爬虫部署到服务器上，结果登录到服务器上的时候，发现操作有点卡，很明显的感觉到服务器的异常，而昨天还没有这样的情况，好在安全技能没白学，第一时间意识到服务器被入侵了，先看看服务器的进程情况，输入Top命令，再按大写的P，根据CPU利用率来看看进程：

可以看到一个很明显的CPU利用率接近100%的进程，而看进程名也不是我们自己启动的进程，基本是一个可疑进程。

进一步查看端口连接信息

可以看到1758，也是对应的刚才看到的那个pscf的异常进程连接了一个158.69.133.20:3333。

这个IP明显不是咱们自己的IP，到cf6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2A6M7r3W2H3i4K6u0W2L8X3g2@1i4K6u0r3K9i4m8Q4x3X3g2Z5N6r3#2D9i4@1f1$3i4K6W2r3i4@1p5#2i4@1f1^5i4@1q4r3i4@1p5J5i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1#2i4K6W2o6i4@1t1H3i4@1f1%4i4K6V1H3i4K6R3$3i4@1f1@1i4@1u0p5i4K6S2p5i4@1f1%4i4@1u0p5i4@1q4q4i4@1g2r3i4@1u0o6i4K6W2m8

这是一个国外IP，一般来说我们自己是熟悉自己服务器情况，我自己服务器上没有连接国外IP的情况，基本确定这个进程是有问题的，进一步到威胁情报平台查询下这个IP的威胁情报信息6b8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6^5i4K6u0W2N6r3S2J5k6h3q4@1j5X3!0G2K9#2)9J5k6h3y4F1i4K6u0r3K9i4m8Q4x3V1j5I4y4e0S2Q4x3X3f1$3z5g2)9J5k6e0p5K6x3#2)9J5k6e0t1H3i4@1g2r3i4@1u0o6i4K6W2m8

是一个矿池地址，加上CPU利用率接近100%的情况，咱们可以确定服务器被入侵并被植入了挖矿程序。那么刚才那个异常进程，其实就是一个挖矿进程。

现在要做的是找到入侵漏洞和清理病毒，首先要找到文件位置，kill进程。

根据进程pid 1758直接ls -lh /proc/1758查看该进程的具体信息：

可以看到进程的exe指向的文件在/var/tmp目录下，然后我们先kill -9 1758杀死进程，避免进程占用CPU资源导致我们相关操作有点慢。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！