某朋友告诉我，他们那边服务器发现异常。从服务器上面发现了一段脚本。让我帮忙看看。
接着我就顺藤摸瓜的开始看脚本。

附件内容有完整的
从代码里发现了几个IP地址。
写个脚本看看有多少。
从这里发现这三个ip地址都不属于大陆。给我第一感觉这是挖矿的。。。
继续看脚本
我大概翻译下这些终端命令

这些命令应该是查看这台服务器上面的配置信息。
继续往下看。

再翻译点，这段主要是关闭这台服务器上吗的防火墙、开启45560的端口

这段让我发现了一台ftp的服务器帐号密码 ，下载服务器上面内容，
登陆这台ftp服务器看看里面内容

资历有限先查看下httpd.conf内容

user应该是某某挖矿的帐号密码。密码为X
再看看这里面IP地址

全部均为法国地址。从目前来看。牵扯地址由香港、德国、美国、法国而来，从此分析这个黑产挖矿团队应该不小。
algo是cryptonight？这是什么 。百度看看

原来这是门罗币。
看见了这些，就证明了我之前的判断没有错。这是一个专业挖矿团队

这些下载的东西应该也和他们挖矿有关吧。
脚本就先到此。