为了追求高效率，现在的黑客―般都是通过自动化脚本去扫描互联网上所有机器，寻找漏洞然后部署挖矿进程。所以大部分的挖矿都是由于受害者的主机上存在常见的漏洞。比如：

　　1) 未授权访问或弱口令: Redis 未授权访问、Docker API未授权访问，Hadoop Yarn未授权访问、NFS未授权访问、Rsync 弱口令，PostareSOL 弱口令、Tomcat弱口令、SSH弱口令、Telnet弱口令、Windows远程桌面弱口令;

　　2) 远程命令执行漏洞：WebLogic XML反序列化漏洞、Jenkins反序列化、Jboss远程代码执行、Spring远程代码执行、ElasticSearch 命令执行、永恒之蓝、Struts2系列漏洞、常见CMS的远程命令执行漏洞;

　　3) 新爆的高危漏洞：一般每次爆发新的高危漏洞，都会紧跟一波大规模的全网扫描利用和挖矿。

　　一旦发现服务器被挖矿，应该首先查看挖矿进程所属的用户，根据挖矿进程的运行用户去排查该用户下是否还运行着其它进程，确定这些进程是否有上述经常被黑客利用的漏洞。如果有常见的漏洞，则应该重点对此进行排查。