腾讯云——请不要动我的奶酪

最近用腾讯云着实被气到了！
假借安全的名义对我的数据进行侵犯，是可忍孰不可忍！
虽然我是屌丝，但是我也有尊严，请不要随意践踏！！
既然你要偷窥我数据，那我就翻一下你的老底，让大家看看腾讯云究竟是如何窥探数据的，来揭露你的丑恶行径。
因为本人比较土，只会用乌班图，所以就采用全新的 Ubuntu 14.04 系统。

装好系统后，首先检查开机进程数，腾讯云默认的开机进程数在 83 个。

扫了一眼腾讯云的进程列表，看到了有三个明显是腾讯云的监控进程和三个疑似监控进程。
如下图所示，我都圈出来了，虽然这个考试不会考=。=|||。

Watchdog 顾名思义，一看就不是什么好鸟。Anyway，打开看看，里面究竟是个啥。

由于是明文（这是赤裸裸侵犯的铁证），我们可以直接看到，watchdog 主要是用于唤醒 secu-tcs-agent-mon.safe.sh 这个文件。通过这么长而且分段的文件名，那么我推测它应该是一个监控进程。那么就继续看这个文件吧。

这个文件的作用主要是来唤起 secu-tcs-agent 进程，而 secu-tcs-agent 就是所谓的腾讯云“安全客户端”，它就相当于一个特洛伊木马，笔直地插在我的服务器上。

继续分析，依旧是脚本（不难看出，腾讯的安全能力是多么暴力，用这堆脚本就开始随意践踏我的数据了）。继续分析这个进程的日志后，发现 sgagent 的主要作用是唤起上级目录中 monitor/barad/admin 目录下的 trystart.sh 这个文件。
继续分析 trystart.sh 。

这个文件启动了 bin 目录下的 agent.py 文件。这个文件会启动我们最后要分析的 brand_agent 进程（它就是一切行为的元凶）。这个进程的主要工作就是收集系统的各项信息如磁盘信息、内存信息、CPU 信息、TCP 端口信息等，再上报给云监控服务。
最后，回过头来看看 secu-tcs-agent 进程。这个进程本身不执行太多的工作，主要是调用其插件发送信息。按照目录和插件的特性，感觉只要 agent 愿意，啥东西他都能看，而且真的能看。因为它直接就能在你机器上执行，而且可以运行任何命令和脚本！


根据提示，可以看出 SAP1004 主要上传了三个日志信息。至于 SAP1005 上传了哪些内容，就需要对这两个文件进行解码，然后还原真实的数据了。当然这个不难，把编码的 agent 拖进 ida 里还是很快能还原的，这里就不赘述了。如果有你兴趣和耐心，相信你能看到更多让你惊讶到掉下巴的东西！
说了这么多，我来整理一下，给大家补一张图说明各个文件之间的关系。

最后总结一下对腾讯云所谓的安全客户端的分析：
1 ） 加密传输了一堆本属于我服务器的数据。首先它没有明确告知我们它收集了什么，传输了什么；其次我不知道它到底采集了什么数据，而这些数据为什么要加密发送？！是不是里面有我的私钥，甚至我其他重要数据？这种随意的行为令人发指！
2 ） 就实现机制本身而言，通过脚本控制是一件非常危险的事情。一是没有上下文校验和文件水印（可以被伪造下发功能和篡改执行脚本）。二是脚本的插件机制容易被恶意软件利用，借助 Agent 的白名单（因为 Agent 是无条件被信任的），黑客可以为所欲为（俗称白加黑模式）。
因此，对于打着所谓安全旗号默认安装的腾讯云 Agent，我的态度也是坚决而彻底的——删除且永不启用。顺便呼吁各位，抽空好好了解一下这个危险的东西，像定时炸弹一样安插在自己服务器里，细思极恐！