这是一个创建于 1297 天前的主题,其中的信息可能已经有所发展或是发生改变。
前两天发现系统中了挖坑病毒,清理病毒后出现 authorized_keys 无法访问的情况,具体如下:
1. 任何用户包括 root 用户,任何路径下(不光是 .ssh 目录)试图创建 authorized_keys 这个文件,只要执行 'touch authorized_keys',就会报以下错误:touch: 无法创建"authorized_keys": 没有那个文件或目录。touch 其它文件正常没问题。
2. 如果执行 'mv 其它文件 authorized_keys' 后,authorized_keys 会生效。但文件列表却看不到这个文件,感觉就像 authorized_keys 虽然存在但被隐藏了起来一样,而且对它进行打开、编辑和删除等任何操作都无法执行。包含这个隐藏文件的目录甚至都无法删除。
3. 只要文件名包含 authorized_keys,都会出现以上两个问题。
请教大佬,是什么情况?是挖坑病毒的问题,还是 ssh 配置问题?
1. 任何用户包括 root 用户,任何路径下(不光是 .ssh 目录)试图创建 authorized_keys 这个文件,只要执行 'touch authorized_keys',就会报以下错误:touch: 无法创建"authorized_keys": 没有那个文件或目录。touch 其它文件正常没问题。
2. 如果执行 'mv 其它文件 authorized_keys' 后,authorized_keys 会生效。但文件列表却看不到这个文件,感觉就像 authorized_keys 虽然存在但被隐藏了起来一样,而且对它进行打开、编辑和删除等任何操作都无法执行。包含这个隐藏文件的目录甚至都无法删除。
3. 只要文件名包含 authorized_keys,都会出现以上两个问题。
请教大佬,是什么情况?是挖坑病毒的问题,还是 ssh 配置问题?
24 条回复 • 2021-04-25 15:53:13 +08:00
 |
1
poisedflw 2021-04-21 22:19:57 +08:00
lsattr
|
 |
2
ironduck OP @poisedflw lsattr 也不行。这个文件都无法创建,通过 'mv 其它文件 authorized_keys' 的方法间接创建后,文件列表也看不到这个文件,也就不能用 lsattr 和 chattr
|
 |
3
dorothyREN 2021-04-21 22:34:26 +08:00
你先看看 touch 的二进制是不是被改了
|
|
4
ironduck OP @dorothyREN 不光 touch,用其它方法创建都不行。比如 vim
|
|
5
ironduck OP 只能通过 'mv 其它文件 authorized_keys' 的方法间接创建
|
 |
6
iseki 2021-04-21 22:43:59 +08:00 via Android
换个内核试试?
|
|
7
iseki 2021-04-21 22:44:33 +08:00 via Android
额…我是指换个干净的镜像看看是不是被打了什么模块上去?
|
|
8
ironduck OP @iseki 估计不是配置问题的话(我对 ssh 配置不熟),很可能被打模块了。现在正在尝试把 ssh 配置中认证文件的文件名改了。
|
 |
10
CEBBCAT 2021-04-21 23:15:58 +08:00 via Android
实在想研究就做个镜像慢慢研究吧。我个人建议是重新安装系统重来。
|
 |
11
vk42 2021-04-21 23:20:58 +08:00
像是中了 rootkit,理论上如果 rootkit 写得完善基本没法 online 清除,即使拔下来做 offline 分析都很难保证完全清干净……
|
|
12
iseki 2021-04-21 23:34:40 +08:00 via Android
建议不折腾
|
 |
13
jim9606 2021-04-22 00:24:41 +08:00
如果没法找出问题,最好直接重装,你都说是中了病毒了。
|
 |
14
zent00 2021-04-22 08:22:24 +08:00 via iPhone
要是你实在不想重装,先做个全面的 rootkit 扫描吧,如果 ls rm 这类基础工具都是被替换过的,查来查去也没啥意义。
|
 |
15
ik 2021-04-22 08:48:16 +08:00 via iPhone
其它机器 scp 过去呢?
|
 |
16
killva4624 2021-04-22 09:57:53 +08:00
strace 一下看看?
|
 |
17
lyi4ng 2021-04-22 11:53:37 +08:00
最垃圾的是替换了二进制,垃圾点的整了 ld_preload,高端点的整了 LKM,可以研究但是不建议折腾,先把机器恢复靠谱点
|
 |
18
bleepbloop 2021-04-22 14:34:41 +08:00
rkhunter 扫一下试试看能不能扫出点东西
|
 |
19
lamesbond 2021-04-23 15:00:05 +08:00
我司上个月被挖矿的搞过,top 显示 cpu 拉满,但找不到挖矿进程,挖矿脚本在系统里放了些 lib 文件,删掉就能用 top 看到挖矿进程了。到 /etc/ld.so.preload,/usr/local/lib/,/usr/sbin/.看下有没有隐藏文件,对比其他正常的服务器是不是多了文件。不过得确保 ls 命令没被搞坏
|
|
20
lamesbond 2021-04-23 15:12:28 +08:00
建议先重装系统,最省事
|
 |
21
initcool 2021-04-24 15:40:04 +08:00
chattr -iae authorized_keys ,如果 chattr 不行就 chmod u+x /usr/bin/chattr.
|
 |
22
fokia 2021-04-25 09:02:14 +08:00
楼上正解,如果没有 chattr 就下一个 busybox 来操作,挖矿病毒常规手段了
|
 |
23
ungrown 2021-04-25 09:26:53 +08:00
livecd 进去修吧
不能重启的话那当我没说 |
 |
24
pcmid 2021-04-25 15:53:13 +08:00 via iPhone
看起来像 ld_preload ?不过 mv 可以又有些奇怪了
|
Select Language