本文为腾讯安全专家撰写的《挖矿木马自助清理手册》，可以为政企客户安全运维人员自助排查清理挖矿木马提供有益参考。

一、什么是挖矿木马

挖矿木马会占用CPU进行超频运算，从而占用主机大量的CPU资源，严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源，一般都会对全网进行无差别扫描，同时利用SSH爆破和漏洞利用等手段攻击主机。

部分挖矿木马还具备蠕虫化的特点，在主机被成功入侵之后，挖矿木马还会向内网渗透，并在被入侵的服务器上持久化驻留以获取最大收益。挖矿木马的整体攻击流程大致如下图所示：

二、挖矿木马中招特征

挖矿木马会在用户不知情的情况下利用主机的算力进行挖矿，最明显的特征就是主机的CPU被大量消耗，查看云主机CPU占用率的方法有两种：

1

控制台实例监控

2

主机执行TOP命令

如下图所示，通过执行top命令，即可在返回结果中看到当时系统的CPU占用率。

top-c

如果云主机CPU占用率居高不下，那么主机很有可能已经被植入了挖矿木马，会影响服务器上的其他应用的正常运行，需要立刻上机排查。

三、清理挖矿木马

1

及时隔离主机

部分带有蠕虫功能的挖矿木马在取得主机的控制权后，会继续对公网的其他主机，或者以当前主机作为跳板机对同一局域网内的其他主机进行横向渗透，所以在发现主机被植入挖矿木马后，在不影响业务正常运行的前提下，应该及时隔离受感染的主机，然后进行下一步分析和清除工作。

腾讯云主机可以通过设置安全组隔离主机，具体参考如下链接：