V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
ironduck
V2EX  ›  Linux

求助大佬:系统中了挖坑病毒后, authorized_keys 无法访问了

  •  
  •   ironduck · 2021-04-21 22:18:28 +08:00 · 3533 次点击
    这是一个创建于 1072 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前两天发现系统中了挖坑病毒,清理病毒后出现 authorized_keys 无法访问的情况,具体如下:

    1. 任何用户包括 root 用户,任何路径下(不光是 .ssh 目录)试图创建 authorized_keys 这个文件,只要执行 'touch authorized_keys',就会报以下错误:touch: 无法创建"authorized_keys": 没有那个文件或目录。touch 其它文件正常没问题。

    2. 如果执行 'mv 其它文件 authorized_keys' 后,authorized_keys 会生效。但文件列表却看不到这个文件,感觉就像 authorized_keys 虽然存在但被隐藏了起来一样,而且对它进行打开、编辑和删除等任何操作都无法执行。包含这个隐藏文件的目录甚至都无法删除。

    3. 只要文件名包含 authorized_keys,都会出现以上两个问题。

    请教大佬,是什么情况?是挖坑病毒的问题,还是 ssh 配置问题?
    24 条回复    2021-04-25 15:53:13 +08:00
    poisedflw
        1
    poisedflw  
       2021-04-21 22:19:57 +08:00
    lsattr
    ironduck
        2
    ironduck  
    OP
       2021-04-21 22:25:07 +08:00
    @poisedflw lsattr 也不行。这个文件都无法创建,通过 'mv 其它文件 authorized_keys' 的方法间接创建后,文件列表也看不到这个文件,也就不能用 lsattr 和 chattr
    dorothyREN
        3
    dorothyREN  
       2021-04-21 22:34:26 +08:00
    你先看看 touch 的二进制是不是被改了
    ironduck
        4
    ironduck  
    OP
       2021-04-21 22:37:50 +08:00
    @dorothyREN 不光 touch,用其它方法创建都不行。比如 vim
    ironduck
        5
    ironduck  
    OP
       2021-04-21 22:38:36 +08:00
    只能通过 'mv 其它文件 authorized_keys' 的方法间接创建
    iseki
        6
    iseki  
       2021-04-21 22:43:59 +08:00 via Android
    换个内核试试?
    iseki
        7
    iseki  
       2021-04-21 22:44:33 +08:00 via Android
    额…我是指换个干净的镜像看看是不是被打了什么模块上去?
    ironduck
        8
    ironduck  
    OP
       2021-04-21 22:51:36 +08:00
    @iseki 估计不是配置问题的话(我对 ssh 配置不熟),很可能被打模块了。现在正在尝试把 ssh 配置中认证文件的文件名改了。
    ironduck
        9
    ironduck  
    OP
       2021-04-21 22:56:20 +08:00
    @iseki 如果是被打模块的话,怎么查杀呢?
    CEBBCAT
        10
    CEBBCAT  
       2021-04-21 23:15:58 +08:00 via Android
    实在想研究就做个镜像慢慢研究吧。我个人建议是重新安装系统重来。
    vk42
        11
    vk42  
       2021-04-21 23:20:58 +08:00
    像是中了 rootkit,理论上如果 rootkit 写得完善基本没法 online 清除,即使拔下来做 offline 分析都很难保证完全清干净……
    iseki
        12
    iseki  
       2021-04-21 23:34:40 +08:00 via Android
    建议不折腾
    jim9606
        13
    jim9606  
       2021-04-22 00:24:41 +08:00
    如果没法找出问题,最好直接重装,你都说是中了病毒了。
    zent00
        14
    zent00  
       2021-04-22 08:22:24 +08:00 via iPhone
    要是你实在不想重装,先做个全面的 rootkit 扫描吧,如果 ls rm 这类基础工具都是被替换过的,查来查去也没啥意义。
    ik
        15
    ik  
       2021-04-22 08:48:16 +08:00 via iPhone
    其它机器 scp 过去呢?
    killva4624
        16
    killva4624  
       2021-04-22 09:57:53 +08:00
    strace 一下看看?
    lyi4ng
        17
    lyi4ng  
       2021-04-22 11:53:37 +08:00
    最垃圾的是替换了二进制,垃圾点的整了 ld_preload,高端点的整了 LKM,可以研究但是不建议折腾,先把机器恢复靠谱点
    bleepbloop
        18
    bleepbloop  
       2021-04-22 14:34:41 +08:00
    rkhunter 扫一下试试看能不能扫出点东西
    lamesbond
        19
    lamesbond  
       2021-04-23 15:00:05 +08:00
    我司上个月被挖矿的搞过,top 显示 cpu 拉满,但找不到挖矿进程,挖矿脚本在系统里放了些 lib 文件,删掉就能用 top 看到挖矿进程了。到 /etc/ld.so.preload,/usr/local/lib/,/usr/sbin/.看下有没有隐藏文件,对比其他正常的服务器是不是多了文件。不过得确保 ls 命令没被搞坏
    lamesbond
        20
    lamesbond  
       2021-04-23 15:12:28 +08:00
    建议先重装系统,最省事
    initcool
        21
    initcool  
       2021-04-24 15:40:04 +08:00
    chattr -iae authorized_keys ,如果 chattr 不行就 chmod u+x /usr/bin/chattr.
    fokia
        22
    fokia  
       2021-04-25 09:02:14 +08:00
    楼上正解,如果没有 chattr 就下一个 busybox 来操作,挖矿病毒常规手段了
    ungrown
        23
    ungrown  
       2021-04-25 09:26:53 +08:00
    livecd 进去修吧
    不能重启的话那当我没说
    pcmid
        24
    pcmid  
       2021-04-25 15:53:13 +08:00 via iPhone
    看起来像 ld_preload ?不过 mv 可以又有些奇怪了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   940 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 21:31 · PVG 05:31 · LAX 14:31 · JFK 17:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.