一、演示案例-挖矿样本-Win&Linux-危害&定性

危害：CPU拉满，网络阻塞，服务器卡顿等
定性：威胁情报平台上传解析分析，文件配置查看等

windows样本

linux样本

二、演示案例-Linux-Web安全漏洞导致挖矿事件

某公司运维人员小李近期发现，通过搜索引擎访问该公司网站会自动跳转到恶意网站（博彩网站），但是直接输入域名访问该公司网站，则不会出现跳转问题，而且服务器CPU的使用率异常高，运维人员认为该公司服务器可能被黑客入侵了，现小李向XX安全公司求助，解决网站跳转问题。

排查：挖矿程序-植入定时任务
排查：Web程序-JAVA_Struts2漏洞

1.CPU使用率爆满

top

2.查看计时任务

crontab -l

3.查看网站首页文件发现攻击者在首页文件添加了js代码导致的网站跳转问题

更高深的玩法就是把跳转代码写进数据库里，然后目标首页文件代码写一个调用数据库的语句。

4.网站利用河马进行webshell查杀

三、演示案例-Windows-系统口令爆破导致挖矿事件

某天客户反馈：服务器疑似被入侵，风扇噪声很大，实验室因耗电量太大经常跳闸，服务器疑似被挖矿。
排查：挖矿程序-植入计划任务
排查：登录爆破-服务器口令安全

1、先看服务器开启了什么服务？

netstat -ano或者火绒剑上查看
通过开放的端口来判断对方怎么进来的

2、通过查看服务器开放的端口，发现开放了3389端口，查看下3389登录日志。

四、演示案例-Linux-个人真实服务器被植入挖矿分析

要分析对方怎么拿到的服务器权限，需要先知道系统开了哪些端口服务、WEB服务。再来判断这些服务是不是存在突破点(弱口令、未授权、RCE漏洞等)
一般挖矿都是工具自动化批量扫弱口令、未授权等方式进来的。

一般挖矿为了保证服务器重启后还能继续挖矿，都会用到权限维持技术，主要两个方面：
1、开机启动项
查看所有开机自启动项命令

systemctl list-unit-files --type=service | grep enabled

参考：https://blog.csdn.net/qq_39257117/article/details/137068553

2、定时计划任务(cron)
查看当前用户的定时任务

crontab -l

所有root用户定义的 crontab 文件都被保存在 /etc/crontab 目录中
所有非root用户定义的 crontab 文件都被保存在 /var/spool/cron 目录中