處置案例：某個(gè)業(yè)務(wù)ip的數(shù)據(jù)出現(xiàn)異常，部分linux系統(tǒng)命令的使用會(huì)出現(xiàn)奇怪的信息，但是在活動(dòng)進(jìn)程中看不出來(lái)

使用工具：busybox，一個(gè)工具箱，集成了非常多的linux命令，在linux命令執(zhí)行時(shí)只通過(guò)工具箱里的靜態(tài)鏈接庫(kù)，不會(huì)使用到系統(tǒng)中的動(dòng)態(tài)鏈接庫(kù)，因此繞過(guò)了動(dòng)態(tài)鏈接庫(kù)被劫持的情況。

1、將busybox移動(dòng)到/root目錄下，方便使用

?

2、添加環(huán)境變量

?

3、使環(huán)境變量生效

?

4、發(fā)現(xiàn)在使用cp，ls，cd，rm等命令時(shí)會(huì)出現(xiàn)不同的顯示，猜測(cè)鏈接庫(kù)被修改

?

5、檢查$LD_PRELOAD，未發(fā)現(xiàn)被篡改

?

6、檢查動(dòng)態(tài)鏈接庫(kù)配置文件是否還是默認(rèn)的，確定沒(méi)問(wèn)題

?

7、檢查配置文件ld.so.preload，發(fā)現(xiàn)其使用了動(dòng)態(tài)鏈接庫(kù)/lib64/ld-linux.so

?

8、發(fā)現(xiàn)其隱藏屬性，去掉隱藏屬性

?

9、發(fā)現(xiàn)該文件在2022年4月23號(hào)被修改過(guò)

?

10、訪問(wèn)之前顯示的異常提示/var/spool/mail/root，這里的內(nèi)容顯示在同一時(shí)間點(diǎn)

?

11、因此異常ip應(yīng)該就是這個(gè)文件中ping的ip地址1.116.102.84

?

12、刪除兩個(gè)文件

?

13、通過(guò)分析文件的日志，發(fā)現(xiàn)每1分鐘執(zhí)行一次，推測(cè)是一個(gè)定時(shí)任務(wù)

?

14、果然存在定時(shí)任務(wù)，嘗試刪除這個(gè)任務(wù)，發(fā)現(xiàn)限制了文件的權(quán)限，修改權(quán)限后刪除

?