前言

• 最近发现某台机器经常出现wget、curl程序丢失的情况，之前一直没有时间排查，今天一查发现居然中了xmr挖矿木马，目前不确定是ssh暴破还是什么原因（我这台机器启用了SSH密钥登录，并非常规的密码登录）；
• 因为本人手上小鸡比较多（大概30+），没有时间逐一去排查，大概参阅了下网上xmr挖矿木马的大致特点，写了个侦测脚本丢小鸡上定时运行，如发现存在xmr挖矿木马，通过TG机器人推送消息，方便及时处理；
• 废话不多说，脚本很简单，代码如下：

#!/bin/bash
cat > /usr/bin/tongzhi <<EOF
#!/bin/bash
baseip=\$(curl -4 ipip.ooo)
if [[ -d /tmp/xmr ]]||[[ -f /tmp/config.json ]]||[[ -f /usr/.work/work32 ]]||[[ -f /usr/.work/work64 ]]; then
  # 下方对照修改填写自己tgbot的apitoken和自己的TGID即可
    curl -s "https://api.telegram.org/bot{apitoken}/sendMessage?chat_id={tgid}&text=⚠️注意，本机发现挖矿程序，我的IP地址为：\${baseip}"
fi
EOF
chmod +x /usr/bin/tongzhi
sed -i 'N;8 a */1 * * * * /usr/bin/tongzhi' /etc/crontab
/etc/init.d/cron restart
echo "挖坑检测程序部署完成···"

食用方法：

• 小鸡上创建文件，如check.sh，粘贴上述代码，根据注释配置好TG机器人的apitoken和自己的tgid,最后bash check.sh执行一次即可。
• 备注：本脚本在Debian和Ubuntu系统上测试过，Centos未测试，可自行测试下。