[转] 执行了一个 shell 脚本，被吓了一跳

来源：https://www.v2ex.com/t/1038974
给 V2EX 一点小小的甬哥震撼。

开了台虚拟机，本来是想着解锁一下某视频网站的非自制剧观看权限。查了一下大部分都是推荐用 Cloudflare Warp 代理来解锁。这只是开头。

然后我搜索的时候看到一个博客写的不错，就按照给出的 Github 地址（https://github.com/yonggekkk/warp-yg） 执行了给出的脚本。执行时使用的是普通用户，不能执行，我就切换到了 root 用户执行脚本。

执行后等待了一会，提示我 “更新依赖时出错，建议重启 SSH 客户端。如果依旧如此建议卸载重装 SSH 客户端” ，我看到后很疑惑，这跟 SSH 客户端有什么关系。

我尝试打开最开始执行命令中的连接，看一下脚本运行的步骤。结果，不看不知道，一看吓一跳，打开后整个屏幕都是密密麻麻的字符，仔细看了一眼好像是变量赋值，中间部分有一个 eval 命令读取变量后拼接到一起然后组成一个“明文”脚本。

我看明白后当场就觉得完了，是不是植入挖矿或是其他可执行文件了，要隐藏的这么深。

我尝试写了一个 Python 脚本，解析后我发现，竟然还用 Base64 编码了。还需要解码，我找了一个在线网页进行解码后，这家伙，还是一个套娃，有好几层（命令我会发到第一层评论）。

改了改 Python 脚本全部解析后，看到了脚本的真实面目。然后发现，竟然还有反转。

脚本在一开始定义了一个 skip 变量，在这个变量指定的地方写的是 "BZh91AY&SYX" 开头的字符，后边全是乱码了。我一看，这不会是把压缩文件放脚本中了吧。我试着使用 tail -n +76 endip.sh | bzip2 -cd > output.sh 仔细查看了脚本，竟然没发现有什么不同。那这“里三层外三层”又是拼接又是下载新脚本的到底是干什么？