腾讯最近检测到H2Miner挖矿木马使用XXL-JOB未授权命令执行漏洞对云主机发起攻击，攻击成功后执行恶意脚本进而植入门罗币挖矿后门模块进行挖矿操作，该挖矿木马运行时会删除其他竞争对手挖矿木马创建的文件和计划任务。xx.sh模块作为入侵后源头执行脚本，会进一步拉取3个模块，分别为系统预加载模块libsystem.so，后门功能模块kinsing，下载工具curl，同时清理其他挖矿模块计划任务，将自身加入计划任务实现持久化。libsystem.so模块将被写入系统预加载配置项，作为服务启动。攻击脚本同时会清理其他挖矿木马创建的计划任务。kinsing模块以服务启动，运行后会不断循环，拉取任务等待执行。根据命令解析执行不同功能，分析可知该模块具备扫描，更新，命令执行，下载执行，执行http请求，redis爆破等功能。