这是一个创建于 1716 天前的主题,其中的信息可能已经有所发展或是发生改变。
前两天发现系统中了挖坑病毒,清理病毒后出现 authorized_keys 无法访问的情况,具体如下:
1. 任何用户包括 root 用户,任何路径下(不光是 .ssh 目录)试图创建 authorized_keys 这个文件,只要执行 'touch authorized_keys',就会报以下错误:touch: 无法创建"authorized_keys": 没有那个文件或目录。touch 其它文件正常没问题。
2. 如果执行 'mv 其它文件 authorized_keys' 后,authorized_keys 会生效。但文件列表却看不到这个文件,感觉就像 authorized_keys 虽然存在但被隐藏了起来一样,而且对它进行打开、编辑和删除等任何操作都无法执行。包含这个隐藏文件的目录甚至都无法删除。
3. 只要文件名包含 authorized_keys,都会出现以上两个问题。
请教大佬,是什么情况?是挖坑病毒的问题,还是 ssh 配置问题?
1. 任何用户包括 root 用户,任何路径下(不光是 .ssh 目录)试图创建 authorized_keys 这个文件,只要执行 'touch authorized_keys',就会报以下错误:touch: 无法创建"authorized_keys": 没有那个文件或目录。touch 其它文件正常没问题。
2. 如果执行 'mv 其它文件 authorized_keys' 后,authorized_keys 会生效。但文件列表却看不到这个文件,感觉就像 authorized_keys 虽然存在但被隐藏了起来一样,而且对它进行打开、编辑和删除等任何操作都无法执行。包含这个隐藏文件的目录甚至都无法删除。
3. 只要文件名包含 authorized_keys,都会出现以上两个问题。
请教大佬,是什么情况?是挖坑病毒的问题,还是 ssh 配置问题?
24 条回复 2021-04-25 15:53:13 +08:00
 | 1 poisedflw 2021-04-21 22:19:57 +08:00 lsattr |
 | 2 ironduck OP @poisedflw lsattr 也不行。这个文件都无法创建,通过 'mv 其它文件 authorized_keys' 的方法间接创建后,文件列表也看不到这个文件,也就不能用 lsattr 和 chattr |
 | 3 dorothyREN 2021-04-21 22:34:26 +08:00 你先看看 touch 的二进制是不是被改了 |
| 4 ironduck OP @dorothyREN 不光 touch,用其它方法创建都不行。比如 vim |
| 5 ironduck OP 只能通过 'mv 其它文件 authorized_keys' 的方法间接创建 |
 | 6 iseki 2021-04-21 22:43:59 +08:00 via Android 换个内核试试? |
| 7 iseki 2021-04-21 22:44:33 +08:00 via Android 额…我是指换个干净的镜像看看是不是被打了什么模块上去? |
| 8 ironduck OP @iseki 估计不是配置问题的话(我对 ssh 配置不熟),很可能被打模块了。现在正在尝试把 ssh 配置中认证文件的文件名改了。 |
 | 10 CEBBCAT 2021-04-21 23:15:58 +08:00 via Android 实在想研究就做个镜像慢慢研究吧。我个人建议是重新安装系统重来。 |
 | 11 vk42 2021-04-21 23:20:58 +08:00 像是中了 rootkit,理论上如果 rootkit 写得完善基本没法 online 清除,即使拔下来做 offline 分析都很难保证完全清干净…… |
| 12 iseki 2021-04-21 23:34:40 +08:00 via Android 建议不折腾 |
 | 13 jim9606 2021-04-22 00:24:41 +08:00 如果没法找出问题,最好直接重装,你都说是中了病毒了。 |
 | 14 zent00 2021-04-22 08:22:24 +08:00 via iPhone 要是你实在不想重装,先做个全面的 rootkit 扫描吧,如果 ls rm 这类基础工具都是被替换过的,查来查去也没啥意义。 |
 | 15 ik 2021-04-22 08:48:16 +08:00 via iPhone 其它机器 scp 过去呢? |
 | 16 killva4624 2021-04-22 09:57:53 +08:00 strace 一下看看? |
 | 17 lyi4ng 2021-04-22 11:53:37 +08:00 最垃圾的是替换了二进制,垃圾点的整了 ld_preload,高端点的整了 LKM,可以研究但是不建议折腾,先把机器恢复靠谱点 |
 | 18 bleepbloop 2021-04-22 14:34:41 +08:00 rkhunter 扫一下试试看能不能扫出点东西 |
 | 19 lamesbond 2021-04-23 15:00:05 +08:00 我司上个月被挖矿的搞过,top 显示 cpu 拉满,但找不到挖矿进程,挖矿脚本在系统里放了些 lib 文件,删掉就能用 top 看到挖矿进程了。到 /etc/ld.so.preload,/usr/local/lib/,/usr/sbin/.看下有没有隐藏文件,对比其他正常的服务器是不是多了文件。不过得确保 ls 命令没被搞坏 |
| 20 lamesbond 2021-04-23 15:12:28 +08:00 建议先重装系统,最省事 |
 | 21 initcool 2021-04-24 15:40:04 +08:00 chattr -iae authorized_keys ,如果 chattr 不行就 chmod u+x /usr/bin/chattr. |
 | 22 fokia 2021-04-25 09:02:14 +08:00 楼上正解,如果没有 chattr 就下一个 busybox 来操作,挖矿病毒常规手段了 |
 | 23 ungrown 2021-04-25 09:26:53 +08:00 livecd 进去修吧 不能重启的话那当我没说 |
 | 24 pcmid 2021-04-25 15:53:13 +08:00 via iPhone 看起来像 ld_preload ?不过 mv 可以又有些奇怪了 |
Select Language