摘要：# 网站里“矿工”偷偷开工？别慌，手把手教你揪出来、清干净 不知道你有没有这种感觉：最近网站打开速度明显变慢，服务器CPU动不动就飙到90%以上，账单上的云主机费用也悄悄涨了一截。你查了日志，没发现大规模攻击；看了流量，好像也正常。但就是不对劲，服务器总…

网站里“矿工”偷偷开工？别慌，手把手教你揪出来、清干净

不知道你有没有这种感觉：最近网站打开速度明显变慢，服务器CPU动不动就飙到90%以上，账单上的云主机费用也悄悄涨了一截。你查了日志，没发现大规模攻击；看了流量，好像也正常。但就是不对劲，服务器总像在“负重跑马拉松”。

如果你正被这种问题困扰，心里隐隐觉得“有鬼”，那你的直觉可能没错。你的网站里，很可能住进了一群不请自来的“矿工”——挖矿脚本（Cryptojacking Script）。

说白了，就是黑客在你的网页里偷偷塞了一段代码，访客一打开你的网站，他们电脑的CPU/GPU资源就会被悄无声息地“借用”去挖虚拟货币（比如门罗币）。你替黑客交了电费、买了硬件，还提供了源源不断的“免费算力”，而你的用户体验和服务器性能，就成了牺牲品。

我自己帮客户做安全巡检时，发现这种“寄生”情况比想象中普遍得多，尤其是那些用着老旧CMS、插件常年不更新的中小型网站。很多站长直到收到云服务商的超资源警告，才后知后觉。

今天，咱就抛开那些复杂的行业黑话，像老朋友聊天一样，说说怎么发现和清理这些讨厌的“矿工”。方法不难，关键是你得知道去哪儿看。

一、怎么发现？你的网站正在“被挖矿”的7个信号

挖矿脚本为了长期潜伏，通常不会让你的网站立刻挂掉，而是像“慢性病”一样慢慢消耗。你可以对照下面这些迹象自查一下：

1. 服务器CPU长期异常高企，尤其是访客不多的时候。 这是最核心的信号。你可以在服务器后台（如宝塔面板、云监控）看到，即便在凌晨流量低谷，CPU使用率也居高不下，核心持续“发烧”。（我自己就见过一个企业官网，半夜CPU跑满，一查果然中招了。）

2. 网站打开变慢，用户抱怨卡顿。 访客的浏览器在默默执行挖矿计算，自然会大量占用本地计算资源，导致页面响应迟缓、操作卡顿，风扇呼呼狂转。如果多个用户都反馈“打开你们网站电脑就变慢”，那基本可以确诊了。

3. 查看浏览器控制台（Console）。 这是最直接的“抓现行”方法。在浏览器（以Chrome为例）打开你的网站，按F12打开开发者工具，切换到 Console（控制台） 标签页。如果你看到大量重复的、与网站功能无关的错误信息，或者出现一些奇怪的、包含“coin”、“crypto”、“mine”、“pool”等字样的域名或脚本调用警告，那几乎就是实锤了。

4. 检查网页源代码。 在网站页面右键，选择“查看网页源代码”。然后，按 Ctrl+F 搜索一些关键词：coinhive、crypto-loot、miner、webassembly、wasm，以及一些常见的挖矿池域名。如果这些莫名其妙的脚本出现在你的代码里，那就是被植入了。

5. 服务器流量异常。 虽然挖矿脚本主要消耗计算资源，但有时也会与矿池服务器通信。检查服务器的出站连接，看看是否有持续、可疑的连接指向一些非常用端口或陌生IP（可以通过 netstat 命令查看）。

6. 安全插件/扫描工具报警。 如果你在服务器上安装了安全类插件（如Wordfence for WordPress），或者定期用在线工具（如Sucuri SiteCheck）扫描网站，它们可能会检测到恶意脚本或恶意域名并发出警告。别忽略这些提示！

7. 对比文件修改时间。 通过FTP或文件管理器，检查网站核心文件（特别是index.php、header.php、footer.php等模板文件）的最后修改时间。如果在你不知情的情况下，这些文件在近期被修改过，那就需要高度警惕。

二、发现之后怎么办？手把手清理“矿工”四步走

确认中招后别慌，按步骤来，大部分情况都能自己搞定。

第一步：立即隔离，防止扩散 如果条件允许，第一时间将网站置于维护模式（比如显示一个“网站升级中”的页面），或者暂时停止网站服务。这能立刻切断挖矿脚本的运行，避免更多访客资源被滥用，也防止问题在排查中恶化。

第二步：定位污染源，找到“病根” 这是清理的关键，盲目删除文件没用。你需要找到脚本被植入在哪里。

• 从最近改动入手：回想一下最近是否安装过新主题、新插件，或者修改过哪个文件。很多挖矿脚本都是通过破解版主题/插件、或者利用CMS已知漏洞注入的。
• 核心文件重点查：优先彻底检查所有入口文件：index.php、header.php、footer.php、functions.php 等。黑客最喜欢在这些文件的头部或尾部插入一行加密或混淆过的恶意代码。
• 检查所有JS文件：遍历网站的/js/目录或所有.js文件，看看有没有新增的、名字奇怪的、或者体积异常大的JS文件。
• 利用备份对比：如果你有干净的网站备份（强烈建议定期备份！），将现有文件与备份文件进行对比，差异部分就是可疑对象。

第三步：彻底清理，斩草除根 找到恶意代码后，不要只是删除那一行。因为有些高级的恶意脚本会自我复制或藏在多个地方。

• 直接删除：对于确认被篡改的核心文件，直接用备份的干净版本覆盖。对于独立的恶意JS文件，直接删除。
• 更新一切：将你的CMS（如WordPress）、主题、所有插件更新到最新版本。很多入侵都是利用旧版本的已知漏洞。
• 修改所有密码：立即更改网站后台管理员密码、数据库密码、FTP/SFTP密码、服务器SSH密码。使用高强度、独一无二的密码。
• 检查服务器用户：查看服务器是否被创建了可疑的系统用户或进程。

第四步：亡羊补牢，加固防线 清理干净不是终点，防止再次中招才是。

• 保持更新：这是最重要、也最容易被忽略的一点。开启CMS和插件的自动更新，或养成手动检查更新的习惯。
• 放弃破解/盗版：永远不要使用来路不明的破解主题和插件，它们是最大的风险来源。
• 安装安全插件：对于常用建站程序，安装可靠的安全防护插件，它们能提供文件完整性监控、防火墙和恶意软件扫描功能。
• 设置文件权限：遵循最小权限原则，配置正确的文件权限（例如，核心文件设置为644，文件夹为755）。
• 启用WAF（Web应用防火墙）：如果条件允许，为网站配置WAF。它能在HTTP请求到达服务器前，就拦截掉已知的恶意攻击和注入尝试，相当于给网站加了一道防盗门。

最后说点大实话

处理网站安全问题，很多时候拼的不是技术多高深，而是意识够不够和习惯好不好。挖矿脚本这类东西，防起来其实不难，核心就是“勤快”二字：勤更新、勤备份、勤检查。

别等到服务器撑不住了、用户跑光了才想起来排查。平时多花十分钟看看监控，可能就避免了一次大麻烦。

如果你的网站已经清理完毕，但还是心有余悸，或者情况太复杂自己搞不定，别硬撑。该找专业的网站安全服务商做个深度检查和加固，这笔钱花得值——它买来的是你的安心，和网站用户的顺畅体验。

行了，方法就聊这么多。赶紧按上面说的，去给你的网站做个“体检”吧。