高校服务器被“挖矿”：这张罚单，敲响了校园网安全警钟-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > 校园信息化 > 高等教育

高校服务器被“挖矿”：这张罚单，敲响了校园网安全警钟

2026-05-09 中国教育网络

　　近日，公安部网安局官方通报一起高校网络安全违法案件：甘肃兰州网警在日常检查中，发现当地某高校系统服务器的日志存在异常通联。警方深入调查后发现，该校因未对服务器采取有效安全防范措施、内部网络未做横向隔离，导致服务器被远程植入挖矿木马，且恶意程序已横向扩散至多台办公设备。

　　目前，涉事服务器内的木马已被全面清除，属地公安机关依据《中华人民共和国网络安全法》第二十三条、第六十一条规定，对该校不履行网络安全保护义务的违法行为作出行政处罚，责令限期整改，针对黑客攻击的溯源工作也正在同步开展。

　　这不是个别案例。挖矿木马频频入侵高校的背后，是一系列可追溯的原因，也是每一所高校都应补上的网络安全必修课——校园网络安全防线，容不得半分侥幸。

　　高校为什么会是“重灾区”？

　　挖矿木马并非新型网络威胁，之所以会攻击高校，核心原因集中在三点：

　　第一，高校算力资源丰富，高校数据中心、科研平台配备了大量高性能服务器、GPU集群，具备海量算力资源，恰好匹配虚拟货币挖矿对算力的核心需求，攻击者一旦入侵成功，就能利用高校算力实现低成本、高收益的非法挖矿。

　　第二，部分高校在网络安全投入、人员配置、制度落地等方面存在差距，给攻击者留下了可乘之机。

　　第三，高校网络场景复杂，需要同时支撑教学、科研、办公、生活等多类场景，对外开放接口多、终端设备基数大、用户群体覆盖广，网络边界相对模糊，天然具备更宽的攻击面，进一步增加了防护难度。

　　挖矿木马入侵高校网络安全漏洞

　　从此次兰州高校案件，结合过往公开的校园网安全事件来看，挖矿木马入侵高校的路径高度集中，每一条都直指校园网防护的常见漏洞：

　　第一，系统漏洞未及时修复，给攻击者留下了可被直接利用的入口。这是挖矿木马最常见的入侵入口。不少高校的业务服务器长期运行老旧操作系统、中间件，未及时跟进更新安全补丁，存在已知的远程代码执行等高危漏洞。攻击者只需通过自动化扫描工具，就能批量发现这些漏洞，直接完成入侵并植入木马。

　　第二，弱口令/默认密码不整改，等同于“不设防”。服务器管理后台、路由器、摄像头等物联网设备，仍在使用admin/admin、123456等简单弱口令，或是未修改厂商默认密码，是校园网防护的高频顽疾。攻击者通过暴力破解手段，就能轻易突破防线，进入内网环境。

　　第三，内网无横向隔离，极易造成“一点突破、全网沦陷”。这正是此次兰州高校案件暴露出的致命问题。涉事高校未对内部网络采取有效的横向隔离措施，单台服务器被植入木马后，攻击者可能借助开放端口、共享账号、远程管理服务等继续横向扩散，快速感染更多办公设备与业务终端，让风险成倍放大。

　　第四，钓鱼邮件与社会工程学，精准突破师生终端。针对高校师生的钓鱼攻击早已形成成熟套路，伪装成“选课通知”“成绩复核”“会议邀请函”“科研项目申报”的带毒邮件，极易降低师生的防范意识，一旦点击附件或不明链接，就会成为木马入侵的跳板。

　　第五，非正版软件与非法下载，成为木马“携带者”。部分师生在办公、科研终端或服务器上，安装来路不明的破解工具、盗版软件，这些程序往往被预先植入挖矿木马。

　　挖矿木马的危害远超想象

　　很多人认为，挖矿木马不像勒索软件那样直接锁定数据、索要赎金，危害相对有限。但事实上，针对高校的挖矿木马攻击，带来的是多维度、持续性的风险与损失：

　　业务运行受阻：挖矿程序会持续占用大量CPU、内存与算力资源，直接导致服务器、终端性能急剧下降，轻则造成办公系统卡顿，重则影响科研计算、教学平台、教务管理等核心业务的正常运行，干扰正常的教学科研秩序。

　　办学成本激增：挖矿程序会让设备7×24小时满负荷运转，直接造成电力资源的巨额浪费，推高校园能耗成本；同时，设备长期高负载运行会大幅缩短使用寿命，增加硬件维修、更换的额外支出。

　　数据安全亮红灯：挖矿木马并不一定只挖矿，往往会与后门程序、信息窃取木马等恶意程序捆绑，入侵成功后，不仅会非法占用算力，更可能窃取师生个人敏感信息、科研核心数据、学校涉密资料，造成无法挽回的数据泄露损失。

　　法律责任追责：根据《中华人民共和国网络安全法》，网络运营者负有法定的网络安全保护义务，因防护不到位导致系统被入侵、恶意程序传播，单位及相关责任人将面临行政处罚，情节严重的还可能承担更重的法律责任。

　　高校该如何防范？

　　第一，网络安全等级保护要到位。按照《中华人民共和国网络安全法》第二十一条要求，落实网络安全等级保护制度。核心要点包括：制定内部安全管理制度和操作规程、防范计算机病毒和网络攻击、监测记录网络运行状态并留存相关日志不少于六个月、采取数据分类和备份等措施。这些不是“可做可不做”的选择题，而是法律规定的必答题。

　　第二，做好网络分区和横向隔离。兰州高校的教训已经摆在眼前。高校应将教学网、科研网、办公网、宿舍网进行逻辑或物理隔离，核心服务器区域设置独立安全域。一旦某个区域被攻破，攻击者无法横向移动，将损失控制在最小范围。

　　第三，常态化漏洞管理和补丁更新。建立服务器资产台账，定期扫描漏洞，及时修补。对外暴露的服务器尤其要优先处理。对于无法及时修补的老旧系统，应部署虚拟补丁或WAF等临时防护措施。

　　第四，加强访问控制和身份管理。全面清理弱口令，强制要求复杂密码并定期更换。对重要系统启用多因素认证（MFA）。关闭不必要的远程访问端口，确需远程管理的应通过堡垒机或VPN进行。

　　第五，部署智能监控和预警体系。高校可建设日志集中分析、终端检测响应、异常流量监测和安全态势感知体系，对异常外联、CPU异常占用、矿池域名访问等行为进行实时告警，从“事后发现”升级为“实时预警”。

　　此外，还要建立应急响应机制。一旦发现异常，第一时间断网隔离、保留证据、向公安机关报告，避免损失扩大。

　　结语

　　《中华人民共和国网络安全法》实施至今，校园网络安全的红线早已清晰划定，兰州高校的这张罚单，是给全国所有高校的一记深刻警醒。

　　校园网络安全，从来没有侥幸可言，责任重于泰山。唯有把安全责任落到实处、把防护工作做在日常，才能真正筑牢高校数字化发展的安全底线。

　　本文来源：综合整理自公安部网安局、甘肃兰州网警等互联网信息。监制：余兴真

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。