Part01Cleanfad挖矿木马是什么？ Cleanfad挖矿木马最早活跃于2021年初，利用DockerRemoteApi未授权命令执行漏洞入侵云主机，攻击成功后会投递挖矿木马，并在被控系统部署扫描工具，继而利用ssh爆破、Redis未授权写入计划任务等方式呈蠕虫式传播持续进行蠕虫化扩散。Part02分析回溯 贯众安全实验室专家对整个入侵攻击流程进行了分析，攻击者入侵投递过程和之前手法相同，入侵成功后分别投递init.sh、is.sh、rs.sh三个恶意sh脚本，入侵流程图如下：图1 攻击入侵流程图2.1init.sh恶意sh脚本主要操作（1）关闭主机运行的阿里云、EDR及aegis等安