直观表现
- top, ps -ef 无异常进程
- load average 稳步飙升
- netstat 命令被删除
- 尝试建立大量 22 端口,6379 端口的内网连接
- crontab 被添加定时wakuang脚本,删除无效
传播途径
- Jenkins 漏洞 (or 弱密码?) 侵入
- 尝试 root 用户 ssh 的免密登录
- 尝试 redis 内网登录
安装busybox
busybox是在嵌入式Linux系统中非常有用的工具箱,里面有很多非常有用的小工具;工作中在普通的linux主机上也有使用该工具的需求,下面展示如何在centOs上下载使用它。
方式一
宿主机即获取到: /tmp/busybox
方式二
1.登陆官网找到最新的busybox
2.安装依赖
3.下载安装包
4.编译安装
5.添加软连接
问题:
在Linux环境make menuconfig的时候出现一下错误。
解决办法:
- 红帽或者FC的安装ncurses-devel
- Ubuntu的需要安装libncurses5-dev
处理过程
使用 busybox 代替系统命令
此 busybox 为静态编译版,不依赖 so 库,系统的 ls 等命令已被通过 so 库的 preload 机制被bingdu劫持,ls 会导致 /etc/cron.d/root 文件被刷写为bingdu定时执行命令.