为什么top命令下会有user为数字的用户?

平时做应急的过程中，排查过程使中用htop或者top经常会发现很多user是数字的用户，但是去看/etc/passwd却没有对应的用户？并且进程/proc目录对应的目录和可执行文件都在不存在。本文通过实践解决了自己在工作中的对于一些技术细节上的疑惑。

最近在分析挖矿木马，发现挖矿木马在入侵后都会对系统自带的部分命令进行替换或劫持。最常见的就是将wget和curl命令重命名。在多个挖矿木马同时竞争的情况下，没有wget和curl该如何远程下载挖矿脚本呢？

漏洞简述

Neo4j是一个开源图数据库管理系统。

在Neo4j 3.4.18及以前，如果开启了Neo4j Shell接口，攻击者将可以通过RMI协议以未授权的身份调用任意方法，其中setSessionVariable方法存在反序列化漏洞。因为这个漏洞并非RMI反序列化，所以不受到Java版本的影响。在Neo4j 3.5及之后的版本，Neo4j Shell被Cyber Shell替代。

今天本来打算写一个v2ray转clash配置文件的shell脚本，由于两者的关键参数是一致的，只是格式不同。我首先想到的是使用模板字符串来解析变量。

最近遇到的一起被勒索案例，被勒索加密的文件后缀是.orkf。勒索信如下：
勒索几百美刀，主要是针对个人PC的勒索病毒。

分析结论：
根据该勒索加密样本与源文件对比分析，发现该勒索病毒加密特征为对文件头进行加密，逐字节加密每个文件，然后保存文件副本，删除（而不是覆盖）原始文件。并在文件尾部添加病毒特征码。由于文件的中间部分未被加密，所以对于一些大的文件有可能能够恢复部分数据。

导语：TemTNT挖矿家族，腾讯云安全中心已经对挖矿脚本有了详细的分析。所以本文不会去分析挖矿脚本代码。而是从应急响应的视角，通过溯源的方式去分析挖矿木马以及给出清理方案。

删除软链接时，究竟是删除的软链接本身？还是删除的软链接指向的文件/目录？

踩坑记录