今天一起看看一些简单的入侵溯源是怎么做的，帮助大家进一步了解这方面的内容，建立兴趣。

一般来说，对于普通用户，溯源的目的更多的是清理已经植入服务器的各种病毒，找到入侵源头，也就是黑客是通过什么漏洞入侵服务器，而这次要讲的溯源经历就是一起服务器被入侵挖矿溯源的经历，正好贴合这次分享的内容。

故事的开始是这样的...

在某一个天和日丽的晚上，抱歉，晚上没有太阳。在某个夜黑风高的晚上，我准备把最近写的用来爬取美丽小姐姐照片的爬虫部署到服务器上，结果登录到服务器上的时候，发现操作有点卡，很明显的感觉到服务器的异常，而昨天还没有这样的情况，好在安全技能没白学，第一时间意识到服务器被入侵了，先看看服务器的进程情况，输入Top命令，再按大写的P，根据CPU利用率来看看进程：

可以看到一个很明显的CPU利用率接近100%的进程，而看进程名也不是我们自己启动的进程，基本是一个可疑进程。

进一步查看端口连接信息

可以看到1758，也是对应的刚才看到的那个pscf的异常进程连接了一个158.69.133.20:3333。

这个IP明显不是咱们自己的IP，到https://www.ipip.net/ip.html查询下地理位置：

这是一个国外IP，一般来说我们自己是熟悉自己服务器情况，我自己服务器上没有连接国外IP的情况，基本确定这个进程是有问题的，进一步到威胁情报平台查询下这个IP的威胁情报信息https://x.threatbook.cn/ip/158.69.133.20：

是一个矿池地址，加上CPU利用率接近100%的情况，咱们可以确定服务器被入侵并被植入了挖矿程序。那么刚才那个异常进程，其实就是一个挖矿进程。

现在要做的是找到入侵漏洞和清理病毒，首先要找到文件位置，kill进程。

根据进程pid 1758直接ls -lh /proc/1758查看该进程的具体信息：

可以看到进程的exe指向的文件在/var/tmp目录下，然后我们先kill -9 1758杀死进程，避免进程占用CPU资源导致我们相关操作有点慢。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课