通过RSS订阅
最近在网上看到了一段有关恶意脚本的文章,里面涉及到了一个非常奇怪的脚本命令,形如:
:(){ :|:&};:
一眼望去,匪夷所思,你绝对不相信这竟然是shell脚本命令,恩,我也不相信,可以如果你在root权限下执行一下你就知道它的厉害了,呵呵(你还真敢试?)
不卖关子,这是一个可以产生无数进程的脚本程序,当大量进程占据了内存空间后,机器就会越来越慢,以至于寿终正寝,Down掉了。
我一直没有高清其中原委,今天看到了一个帖子道出了其中的秘密,原贴如下:http://bbs.chinaunix.net/viewthread.php?tid=1317493
原来:(){ 
:&};:可以写成结构化的脚本程序形式:
:() { : | : & } :
下面是原帖中网友对此脚本的详细解释,非常感谢:)
[
(即除最后一行外)定义了一个 shell 函数,函数名是“:”,而这个函数体执行一个后台命令“: | :” ——即冒号命令(或函数,下文会解释)的输出通过管道再传给冒号命令做输入(够清楚了吧)
最后一行执行“:”命令
这个代码只有在 bash 中执行才会出现不断创建进程而耗尽系统资源的严重后果,在 ksh(Korn shell)、sh(Bourne shell)中并不会出现,在 ksh87 和传统 unix Bourne shell 中冒号不能做函数名,即便是在后来的 posix sh 和 pdksh(ksh93 手边没有,没试)中冒号可以做函数名,但还是不会出现那个效果。
原因是 sh、ksh 中内置命令的优先级高于函数,所以执行“:”,总是执行内置命令“:”而不是刚才定义的那个恐怖函数。
但是在 bash 中就不一样,bash 中函数的优先级高于内置命令,所以执行“:”结果会导致不断的递归,而其中有管道操作,这就需要创建两个子进程来实现,这样就会不断的创建进程而导致资源耗尽。
需要注意的是,很多 linux 发行本的 sh 命令并不是真正的 Bourne shell,而是 bash 的一个符号链接或副本。如果不能确定请不要轻易尝试用 sh 执行这段代码,否则也可能会导致资源耗尽。
]
over~
December 1st, 2008 at 9:37 am
这个是很经典的fork炸弹脚本,”:”换成”.”也可以的.
回复
April 25th, 2009 at 8:49 pm
“我一直没有高清其中原委”???别字
回复