求助大佬:系统中了挖坑病毒后, authorized_keys 无法访问了

2021-04-21 22:18:28 +08:00
 ironduck
前两天发现系统中了挖坑病毒,清理病毒后出现 authorized_keys 无法访问的情况,具体如下:

1. 任何用户包括 root 用户,任何路径下(不光是 .ssh 目录)试图创建 authorized_keys 这个文件,只要执行 'touch authorized_keys',就会报以下错误:touch: 无法创建"authorized_keys": 没有那个文件或目录。touch 其它文件正常没问题。

2. 如果执行 'mv 其它文件 authorized_keys' 后,authorized_keys 会生效。但文件列表却看不到这个文件,感觉就像 authorized_keys 虽然存在但被隐藏了起来一样,而且对它进行打开、编辑和删除等任何操作都无法执行。包含这个隐藏文件的目录甚至都无法删除。

3. 只要文件名包含 authorized_keys,都会出现以上两个问题。

请教大佬,是什么情况?是挖坑病毒的问题,还是 ssh 配置问题?
3825 次点击
所在节点    Linux
24 条回复
poisedflw
2021-04-21 22:19:57 +08:00
lsattr
ironduck
2021-04-21 22:25:07 +08:00
@poisedflw lsattr 也不行。这个文件都无法创建,通过 'mv 其它文件 authorized_keys' 的方法间接创建后,文件列表也看不到这个文件,也就不能用 lsattr 和 chattr
dorothyREN
2021-04-21 22:34:26 +08:00
你先看看 touch 的二进制是不是被改了
ironduck
2021-04-21 22:37:50 +08:00
@dorothyREN 不光 touch,用其它方法创建都不行。比如 vim
ironduck
2021-04-21 22:38:36 +08:00
只能通过 'mv 其它文件 authorized_keys' 的方法间接创建
iseki
2021-04-21 22:43:59 +08:00
换个内核试试?
iseki
2021-04-21 22:44:33 +08:00
额…我是指换个干净的镜像看看是不是被打了什么模块上去?
ironduck
2021-04-21 22:51:36 +08:00
@iseki 估计不是配置问题的话(我对 ssh 配置不熟),很可能被打模块了。现在正在尝试把 ssh 配置中认证文件的文件名改了。
ironduck
2021-04-21 22:56:20 +08:00
@iseki 如果是被打模块的话,怎么查杀呢?
CEBBCAT
2021-04-21 23:15:58 +08:00
实在想研究就做个镜像慢慢研究吧。我个人建议是重新安装系统重来。
vk42
2021-04-21 23:20:58 +08:00
像是中了 rootkit,理论上如果 rootkit 写得完善基本没法 online 清除,即使拔下来做 offline 分析都很难保证完全清干净……
iseki
2021-04-21 23:34:40 +08:00
建议不折腾
jim9606
2021-04-22 00:24:41 +08:00
如果没法找出问题,最好直接重装,你都说是中了病毒了。
zent00
2021-04-22 08:22:24 +08:00
要是你实在不想重装,先做个全面的 rootkit 扫描吧,如果 ls rm 这类基础工具都是被替换过的,查来查去也没啥意义。
ik
2021-04-22 08:48:16 +08:00
其它机器 scp 过去呢?
killva4624
2021-04-22 09:57:53 +08:00
strace 一下看看?
lyi4ng
2021-04-22 11:53:37 +08:00
最垃圾的是替换了二进制,垃圾点的整了 ld_preload,高端点的整了 LKM,可以研究但是不建议折腾,先把机器恢复靠谱点
bleepbloop
2021-04-22 14:34:41 +08:00
rkhunter 扫一下试试看能不能扫出点东西
lamesbond
2021-04-23 15:00:05 +08:00
我司上个月被挖矿的搞过,top 显示 cpu 拉满,但找不到挖矿进程,挖矿脚本在系统里放了些 lib 文件,删掉就能用 top 看到挖矿进程了。到 /etc/ld.so.preload,/usr/local/lib/,/usr/sbin/.看下有没有隐藏文件,对比其他正常的服务器是不是多了文件。不过得确保 ls 命令没被搞坏
lamesbond
2021-04-23 15:12:28 +08:00
建议先重装系统,最省事

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/772298

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX