圣诞节大家在都在和换了战袍的女朋友奋战的时候我偶然拿到一台服务器权限，第一时间ssh上去看看（我是一个没有‘爱’的大马喽）。top看一下，有人比我捷足先登了，直觉告诉我这个是矿马。

kill -9 杀不死，应该有守护进程，去看看进程树，看看是谁拉起的矿马，顺便看看他们的挖矿脚本写的咋样。

直接翻文件，果不其然，在root目录找到了矿马（这人的脚本不行啊，留下太多东西了。）一看config.json，大概率是xmrig。

再看看其他脚本内容：

将命令追加到当前用户的 ~/.bashrc 文件中，这样每次root登录时自动运行 ~/gpUxgdSz/checkes.sh脚本，都有root权限了还不做内核劫持。。。。。这思路，有点小白。接下来继续查看chechs.sh

非常简单的守护进程，一个死循环确保进程死了重新拉起。

到此，这个矿马进行的两个权限维持到此就很清晰，处理起来也很简单（对比原来处理的内核劫持那些对比就是小孩子的玩意，一看脚本注释，大概率是GPT写的shell代码）。

处理流程：

使用sed -i ‘/checkes.sh > \/dev\/null 2>&1 &/d’ ~/.bashrc清除掉bashrc内被写入的恶意内容，之后使用

pkill -f checkes.sh
pkill -f gpUxgd

杀死守护进程和矿马，删除掉文件就可以。

服务器恢复正常。你别说，这服务器配置还挺高，16h32g

总结：很菜的脚本小子第一次玩矿马能做的极限。对比一下前置脚本和守护脚本的差距就能看出这个脚本有多萌新