求助大佬:系统中了挖坑病毒后, authorized_keys 无法访问了

2021-04-21 22:18:28 +08:00
 ironduck
前两天发现系统中了挖坑病毒,清理病毒后出现 authorized_keys 无法访问的情况,具体如下:

1. 任何用户包括 root 用户,任何路径下(不光是 .ssh 目录)试图创建 authorized_keys 这个文件,只要执行 'touch authorized_keys',就会报以下错误:touch: 无法创建"authorized_keys": 没有那个文件或目录。touch 其它文件正常没问题。

2. 如果执行 'mv 其它文件 authorized_keys' 后,authorized_keys 会生效。但文件列表却看不到这个文件,感觉就像 authorized_keys 虽然存在但被隐藏了起来一样,而且对它进行打开、编辑和删除等任何操作都无法执行。包含这个隐藏文件的目录甚至都无法删除。

3. 只要文件名包含 authorized_keys,都会出现以上两个问题。

请教大佬,是什么情况?是挖坑病毒的问题,还是 ssh 配置问题?
3825 次点击
所在节点    Linux
24 条回复
initcool
2021-04-24 15:40:04 +08:00
chattr -iae authorized_keys ,如果 chattr 不行就 chmod u+x /usr/bin/chattr.
fokia
2021-04-25 09:02:14 +08:00
楼上正解,如果没有 chattr 就下一个 busybox 来操作,挖矿病毒常规手段了
ungrown
2021-04-25 09:26:53 +08:00
livecd 进去修吧
不能重启的话那当我没说
pcmid
2021-04-25 15:53:13 +08:00
看起来像 ld_preload ?不过 mv 可以又有些奇怪了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/772298

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX