原理

修改或构造/etc/profile.d/ 下sh文件，劫持环境变量，从而实现覆盖常见的命令，如：ps、ls、lsof等；

实现：

1、配置环境变量 shell脚本：

重新登录用户之后；或者使用命令source /etc/profile 更新配置，使生效；
2、根目录下存在的myshell.sh文件被隐藏：

执行ls命令效果：

排查方法：

使用strace 调用执行ls，strace 里面调用ls属于非交互式shell命令执行，不会使用这个被劫持的shell环境

解除方法：

排查 /etc/profile.d/发现可疑的环境变量设置脚本文件，删除后，重新登录系统生效，或者手动执行重新加载profile:source /etc/profile生效；