V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
ironduck
V2EX  ›  Linux

求助大佬:系统中了挖坑病毒后, authorized_keys 无法访问了

  •  
  •   ironduck · 26 天前 · 2070 次点击
    前两天发现系统中了挖坑病毒,清理病毒后出现 authorized_keys 无法访问的情况,具体如下:

    1. 任何用户包括 root 用户,任何路径下(不光是 .ssh 目录)试图创建 authorized_keys 这个文件,只要执行 'touch authorized_keys',就会报以下错误:touch: 无法创建"authorized_keys": 没有那个文件或目录。touch 其它文件正常没问题。

    2. 如果执行 'mv 其它文件 authorized_keys' 后,authorized_keys 会生效。但文件列表却看不到这个文件,感觉就像 authorized_keys 虽然存在但被隐藏了起来一样,而且对它进行打开、编辑和删除等任何操作都无法执行。包含这个隐藏文件的目录甚至都无法删除。

    3. 只要文件名包含 authorized_keys,都会出现以上两个问题。

    请教大佬,是什么情况?是挖坑病毒的问题,还是 ssh 配置问题?
    24 条回复    2021-04-25 15:53:13 +08:00
    poisedflw
        1
    poisedflw   26 天前
    lsattr
    ironduck
        2
    ironduck   26 天前
    @poisedflw lsattr 也不行。这个文件都无法创建,通过 'mv 其它文件 authorized_keys' 的方法间接创建后,文件列表也看不到这个文件,也就不能用 lsattr 和 chattr
    dorothyREN
        3
    dorothyREN   26 天前
    你先看看 touch 的二进制是不是被改了
    ironduck
        4
    ironduck   26 天前
    @dorothyREN 不光 touch,用其它方法创建都不行。比如 vim
    ironduck
        5
    ironduck   26 天前
    只能通过 'mv 其它文件 authorized_keys' 的方法间接创建
    iseki
        6
    iseki   26 天前 via Android
    换个内核试试?
    iseki
        7
    iseki   26 天前 via Android
    额…我是指换个干净的镜像看看是不是被打了什么模块上去?
    ironduck
        8
    ironduck   26 天前
    @iseki 估计不是配置问题的话(我对 ssh 配置不熟),很可能被打模块了。现在正在尝试把 ssh 配置中认证文件的文件名改了。
    ironduck
        9
    ironduck   26 天前
    @iseki 如果是被打模块的话,怎么查杀呢?
    CEBBCAT
        10
    CEBBCAT   26 天前 via Android
    实在想研究就做个镜像慢慢研究吧。我个人建议是重新安装系统重来。
    vk42
        11
    vk42   26 天前
    像是中了 rootkit,理论上如果 rootkit 写得完善基本没法 online 清除,即使拔下来做 offline 分析都很难保证完全清干净……
    iseki
        12
    iseki   26 天前 via Android
    建议不折腾
    jim9606
        13
    jim9606   26 天前
    如果没法找出问题,最好直接重装,你都说是中了病毒了。
    zent00
        14
    zent00   26 天前 via iPhone
    要是你实在不想重装,先做个全面的 rootkit 扫描吧,如果 ls rm 这类基础工具都是被替换过的,查来查去也没啥意义。
    ik
        15
    ik   26 天前 via iPhone
    其它机器 scp 过去呢?
    killva4624
        16
    killva4624   26 天前
    strace 一下看看?
    lyi4ng
        17
    lyi4ng   26 天前
    最垃圾的是替换了二进制,垃圾点的整了 ld_preload,高端点的整了 LKM,可以研究但是不建议折腾,先把机器恢复靠谱点
    bleepbloop
        18
    bleepbloop   26 天前
    rkhunter 扫一下试试看能不能扫出点东西
    lamesbond
        19
    lamesbond   25 天前
    我司上个月被挖矿的搞过,top 显示 cpu 拉满,但找不到挖矿进程,挖矿脚本在系统里放了些 lib 文件,删掉就能用 top 看到挖矿进程了。到 /etc/ld.so.preload,/usr/local/lib/,/usr/sbin/.看下有没有隐藏文件,对比其他正常的服务器是不是多了文件。不过得确保 ls 命令没被搞坏
    lamesbond
        20
    lamesbond   25 天前
    建议先重装系统,最省事
    initcool
        21
    initcool   24 天前
    chattr -iae authorized_keys ,如果 chattr 不行就 chmod u+x /usr/bin/chattr.
    fokia
        22
    fokia   23 天前
    楼上正解,如果没有 chattr 就下一个 busybox 来操作,挖矿病毒常规手段了
    ungrown
        23
    ungrown   23 天前
    livecd 进去修吧
    不能重启的话那当我没说
    pcmid
        24
    pcmid   23 天前 via iPhone
    看起来像 ld_preload ?不过 mv 可以又有些奇怪了
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2535 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 12:11 · PVG 20:11 · LAX 05:11 · JFK 08:11
    ♥ Do have faith in what you're doing.