计划任务停止，分析后竟然找到了一个挖矿程序！

背景：
用户反馈面板上添加的计划任务不执行了，正好也在论坛求助，后面让我司客服志伟帮忙联系了用户，查看面板计划任务都在，查看计划任务服务日志，正常。

经过日志分析查看，计划任务被一个/bin/fQst5kkj进程每隔1分钟删除root账号下的计划任务


计划任务存在一丢丢时间，直接被清空了！


将进程下载到本地，火绒大佬直接阻止了，奈何还想进一步查看，关闭了火绒大佬，然后对这个文件进行分析，大致进行了以下操作：
1、先调用系统的iptables，然后放行矿池的地址和指定IP访问该服务器的80 443 3333端口，
2、使用DNS查询到指定的矿池url地址，并使用代理IP进行访问
3、处理好指定子网访问特定范围的端口
4、删除计划任务条目
5、获取到服务器的资源，当服务器负载资源超过了40%，找出这个进程，并结束掉（着实优秀！大概是为了保证矿机的效率吧。。。。）
6、修改了系统文件属性
7、随机在指定目录生成随机文件，并保存
大致是这样的过程

将该文件重命名后，安装了系统加固程序，观察了一会，用户自己添加的计划任务还在。


服务器安全无小事，如果您遇到了服务器的安全问题，请联系我司专属安全运维客服，我司将提供高效的安全运维服务给到您！