/etc/ld.so.preload被篡改是高危后门,需立即检查文件存在性与内容、定位并删除恶意so库、排查已加载该库的进程,并通过清空文件、加锁加固及日志审计防止复发。
/etc/ld.so.preload 是 linux 系统中一个极其敏感的文件,它指定在所有动态链接程序启动前强制加载的共享库。攻击者一旦写入恶意路径(如 /tmp/.x.so),即可实现全局级持久后门——任意普通用户执行 ls、ps 甚至 su 都会触发恶意代码。检测与清理需快速、精准、不留死角。
一、立即检查 /etc/ld.so.preload 是否被篡改
该文件本应为空或根本不存在(绝大多数系统默认不创建)。若存在且非空,极大概率已被植入:
- 运行
ls -l /etc/ld.so.preload查看是否存在、权限(应为-rw-r--r--,属主 root)、修改时间(是否异常接近最近入侵时间) - 执行
cat /etc/ld.so.preload—— 若输出类似/tmp/.a.so、/var/run/.b.so或指向非常规路径的 .so 文件,即确认被篡改 - 注意:空格、制表符、换行、注释(#)均无效,ld.so 只认纯路径行;任何非路径内容会导致加载失败,但部分后门会伪装成“无效路径”干扰判断,需结合文件时间与进程行为综合分析
二、定位并清除预加载的恶意共享库
preload 文件中列出的路径不一定是真实存在的文件,但只要存在,就可能正在运行。必须同步清理:
- 对每个列出的路径(如
/tmp/.x.so),先确认其存在:ls -la /tmp/.x.so - 检查文件属性:
file /tmp/.x.so(是否为 ELF 共享对象)、readelf -d /tmp/.x.so | grep NEEDED(是否依赖可疑库)、strings /tmp/.x.so | grep -i "socket|connect|exec|kill"(提取可疑行为字符串) - 若确认为恶意,立即删除:
rm -f /tmp/.x.so;若文件被进程占用(如lsof /tmp/.x.so返回结果),需先终止相关进程或重启系统后再删 - 不要仅清空 preload 文件而保留 .so —— 攻击者可能通过其他方式(如 cron、systemd)重新写入
三、排查已加载该库的活跃进程
恶意库在进程启动时注入,但不会显示在 ps 或 top 中。需用内存映射方式追踪:
- 查找所有当前映射了可疑 .so 的进程:
grep -l "/tmp/.x.so" /proc/[0-9]*/maps 2>/dev/NULL | cut -d'/' -f3 - 对返回的 PID,进一步检查:
cat /proc/PID/cmdline | tr '�' ' '(看原始命令)、ls -l /proc/PID/exe(看执行的是什么程序) - 常见被利用的“合法”进程包括
bash、sshd、crond,一旦发现其映射了恶意 so,说明该进程已被劫持,建议直接 kill 并重启对应服务(如systemctl restart sshd)
四、加固与后续验证
清除只是第一步,防止复发需系统性加固:
- 彻底清空或删除 preload 文件:
rm -f /etc/ld.so.preload或echo "" > /etc/ld.so.preload(确保无残留) - 设置不可修改位(防覆盖):
chattr +i /etc/ld.so.preload(删除后重建再加锁;注意:加锁后任何写入都会失败,包括管理员,需chattr -i才能修改) - 检查 rootkit 工具(如
chkrootkit、rkhunter)并更新签名,它们能识别部分基于 preload 的已知后门模式 - 审计系统日志(
/var/log/auth.log、journalctl -u sshd --since "2 hours ago")寻找异常登录、提权痕迹
整个过程需在可信环境中操作(如从只读 Live usb 启动进行离线扫描),避免在已被入侵的系统中执行检测命令被劫持。不复杂但容易忽略。