对面想通过 Log4j 漏洞下载 xmrig 挖矿脚本。多谢老哥提供了个样本，测了下自己的规则能覆盖，嘿嘿。

更新：

重新尝试分析了一下 kinsing ，发现与 H2Miner 黑产的样本高度相似。
腾讯安全同事去年分析过 H2Miner： https://s.tencent.com/research/report/976.html
你们这个应该跟这个基本上差不多，只是样本多了些别的功能，比如多了对 F5 RCE 漏洞的支持。

@leiuu 噢，是通过一些信息检索找到的。
做安全的可能这块相对熟悉一些，也只是个普通的安全从业者😂，建议你们部署一些主机安全设备加强防护。

刚大概看了下样本，spr.sh 被放进 crontab 用来定期一顿清理和杀别的进程，清理完最后会下载执行挖矿主体程序“kinsing.elf”。
从清理脚本看应该是有 root 权限，我觉得可以先看看服务器哪些应用是 root 跑的，缩小一下溯源范围。如果没有其他流量层和主机层的日志的话这个比较难去准确溯源调查。
我把关联的 IOC 整理了下，安全同事们看到这里顺便可以在自家的 NIDS/HIDS 里自查一下。

文件 Hash：
b099a4454a5ecc566f849747c14dec8accc96128f21cf228790a4b34d3ef1aea
75596a259a6cf7701da23e8220550216a559006acc2b8607aa9b0017e6c293d9
6e25ad03103a1a972b78c642bac09060fa79c460011dc5748cbb433cc459938b

IP：
185.191.32.198
194.38.20.199

URL：
hxxp://194.38.20.199/kinsing
hxxp://194.38.20.199/spr.sh
hxxp://194.38.20.199/cron.sh
hxxp://185.191.32.198/spr.sh （疑似已失效）

没接到过。目前个人的防御思路是这样：
1. 家人朋友来电->通讯录=白名单->直接接。
2. 腾讯手机管家+防骚扰大师=黑名单->快递送餐等接，其余不接。
3. 剩余的默认不接，一般认识的人基本走微信了，除非连续打（可能是紧急情况）。