BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。
运维人员开始top、ps等未查找到异常进程是由于该病毒涉及到 Linux动态链接库预加载机制,是一种常用的进程隐藏方法,而系统的ls,ps等命令已被通过so库的preload机制被病毒劫持。
而busybox是静态编译的,不依赖于系统的动态链接库,从而不受ld.so.preload的劫持,能够正常操作文件
BusyBox下载
cd /bin/
wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox
chmod 755 busybox
使用:busybox top
后门检查
Chkrootkit
Rkhunter
查杀:cleamav
D盾查杀
http://www.d99net.net/News.asp?id=62
什么是应急响应
PDCERF模型
P (Preparation准备)
D(Detection诊断)
C(Containment抑制)
E(Eradication根除)
R(Recovery恢复)
F(follow-up跟踪)