这是一个创建于 1734 天前的主题,其中的信息可能已经有所发展或是发生改变。
前两天发现系统中了挖坑病毒,清理病毒后出现 authorized_keys 无法访问的情况,具体如下:
1. 任何用户包括 root 用户,任何路径下(不光是 .ssh 目录)试图创建 authorized_keys 这个文件,只要执行 'touch authorized_keys',就会报以下错误:touch: 无法创建"authorized_keys": 没有那个文件或目录。touch 其它文件正常没问题。
2. 如果执行 'mv 其它文件 authorized_keys' 后,authorized_keys 会生效。但文件列表却看不到这个文件,感觉就像 authorized_keys 虽然存在但被隐藏了起来一样,而且对它进行打开、编辑和删除等任何操作都无法执行。包含这个隐藏文件的目录甚至都无法删除。
3. 只要文件名包含 authorized_keys,都会出现以上两个问题。
请教大佬,是什么情况?是挖坑病毒的问题,还是 ssh 配置问题?
1. 任何用户包括 root 用户,任何路径下(不光是 .ssh 目录)试图创建 authorized_keys 这个文件,只要执行 'touch authorized_keys',就会报以下错误:touch: 无法创建"authorized_keys": 没有那个文件或目录。touch 其它文件正常没问题。
2. 如果执行 'mv 其它文件 authorized_keys' 后,authorized_keys 会生效。但文件列表却看不到这个文件,感觉就像 authorized_keys 虽然存在但被隐藏了起来一样,而且对它进行打开、编辑和删除等任何操作都无法执行。包含这个隐藏文件的目录甚至都无法删除。
3. 只要文件名包含 authorized_keys,都会出现以上两个问题。
请教大佬,是什么情况?是挖坑病毒的问题,还是 ssh 配置问题?
24 条回复 2021-04-25 15:53:13 +08:00
 | 1 poisedflw 2021 年 4 月 21 日 lsattr |
 | 2 ironduck OP @poisedflw lsattr 也不行。这个文件都无法创建,通过 'mv 其它文件 authorized_keys' 的方法间接创建后,文件列表也看不到这个文件,也就不能用 lsattr 和 chattr |
 | 3 dorothyREN 2021 年 4 月 21 日 你先看看 touch 的二进制是不是被改了 |
| 4 ironduck OP @dorothyREN 不光 touch,用其它方法创建都不行。比如 vim |
| 5 ironduck OP 只能通过 'mv 其它文件 authorized_keys' 的方法间接创建 |
 | 6 iseki 2021 年 4 月 21 日 via Android 换个内核试试? |
| 7 iseki 2021 年 4 月 21 日 via Android 额…我是指换个干净的镜像看看是不是被打了什么模块上去? |
 | 10 CEBBCAT 2021 年 4 月 21 日 via Android 实在想研究就做个镜像慢慢研究吧。我个人建议是重新安装系统重来。 |
 | 11 vk42 2021 年 4 月 21 日 像是中了 rootkit,理论上如果 rootkit 写得完善基本没法 online 清除,即使拔下来做 offline 分析都很难保证完全清干净…… |
| 12 iseki 2021 年 4 月 21 日 via Android 建议不折腾 |
 | 13 jim9606 2021 年 4 月 22 日 如果没法找出问题,最好直接重装,你都说是中了病毒了。 |
 | 14 zent00 2021 年 4 月 22 日 via iPhone 要是你实在不想重装,先做个全面的 rootkit 扫描吧,如果 ls rm 这类基础工具都是被替换过的,查来查去也没啥意义。 |
 | 15 ik 2021 年 4 月 22 日 via iPhone 其它机器 scp 过去呢? |
 | 16 killva4624 2021 年 4 月 22 日 strace 一下看看? |
 | 17 lyi4ng 2021 年 4 月 22 日 最垃圾的是替换了二进制,垃圾点的整了 ld_preload,高端点的整了 LKM,可以研究但是不建议折腾,先把机器恢复靠谱点 |
 | 18 bleepbloop 2021 年 4 月 22 日 rkhunter 扫一下试试看能不能扫出点东西 |
 | 19 lamesbond 2021 年 4 月 23 日 我司上个月被挖矿的搞过,top 显示 cpu 拉满,但找不到挖矿进程,挖矿脚本在系统里放了些 lib 文件,删掉就能用 top 看到挖矿进程了。到 /etc/ld.so.preload,/usr/local/lib/,/usr/sbin/.看下有没有隐藏文件,对比其他正常的服务器是不是多了文件。不过得确保 ls 命令没被搞坏 |
| 20 lamesbond 2021 年 4 月 23 日 建议先重装系统,最省事 |
 | 21 initcool 2021 年 4 月 24 日 chattr -iae authorized_keys ,如果 chattr 不行就 chmod u+x /usr/bin/chattr. |
 | 22 fokia 2021 年 4 月 25 日 楼上正解,如果没有 chattr 就下一个 busybox 来操作,挖矿病毒常规手段了 |
 | 23 ungrown 2021 年 4 月 25 日 livecd 进去修吧 不能重启的话那当我没说 |
 | 24 pcmid 2021 年 4 月 25 日 via iPhone 看起来像 ld_preload ?不过 mv 可以又有些奇怪了 |
Select Language