Linux中的库文件劫持（二）

处置案例：某个业务ip的数据出现异常，部分linux系统命令的使用会出现奇怪的信息，但是在活动进程中看不出来

使用工具：busybox，一个工具箱，集成了非常多的linux命令，在linux命令执行时只通过工具箱里的静态链接库，不会使用到系统中的动态链接库，因此绕过了动态链接库被劫持的情况。

1、将busybox移动到/root目录下，方便使用

2、添加环境变量

3、使环境变量生效

4、发现在使用cp，ls，cd，rm等命令时会出现不同的显示，猜测链接库被修改

5、检查$LD_PRELOAD，未发现被篡改

6、检查动态链接库配置文件是否还是默认的，确定没问题

7、检查配置文件ld.so.preload，发现其使用了动态链接库/lib64/ld-linux.so

8、发现其隐藏属性，去掉隐藏属性

9、发现该文件在2022年4月23号被修改过

10、访问之前显示的异常提示/var/spool/mail/root，这里的内容显示在同一时间点

11、因此异常ip应该就是这个文件中ping的ip地址1.116.102.84

12、删除两个文件

13、通过分析文件的日志，发现每1分钟执行一次，推测是一个定时任务

14、果然存在定时任务，尝试删除这个任务，发现限制了文件的权限，修改权限后删除