前两天发现系统中了挖坑病毒，清理病毒后出现 authorized_keys 无法访问的情况，具体如下：

1. 任何用户包括 root 用户，任何路径下（不光是 .ssh 目录）试图创建 authorized_keys 这个文件，只要执行 'touch authorized_keys'，就会报以下错误：touch: 无法创建"authorized_keys": 没有那个文件或目录。touch 其它文件正常没问题。

2. 如果执行抗投诉服务器 'mv 其它文件 authorized_keys' 后，authorized_keys 会生效。但文件列表却看不到这个文件，感觉就像 authorized_keys 虽然存在但被隐藏了起来一样，而且对它进行打开、编辑和删除等任何操作都无法执行。包含这个隐藏文件的目录甚至都无法删除。

3. 只要文件名包含 authorized_keys，都会出现以上两个问题。

请教大佬，是什么情况？是挖坑病毒的问题，还是 ssh 配置问题？
lsattr

lsattr 也不行。这个文件都无法创建，通过 'mv 其它文件 authorized_keys' 的方法间接创建后，文件列表也看不到这个文件，也就不能用 lsattr 和 chattr

你先看看 touch 的二进制是不是被改了

不光 touch，用其它方法创建都不行。比如 vim

只能通过 'mv 其它文件 authorized_keys' 的方法间接创建

换个内核试试？

额…我是指换个干净的镜像看看是不是被打了什么模块上去？

估计不是配置问题的话（我对 ssh 配置不熟），很可能被打模块了。现在正在尝试把 ssh 配置中认证文件的文件名改了。

如果是被打模块的话，怎么查杀呢？

实在想研究就做个镜像慢慢研究吧。我个人建议是重新安装系统重来。

像是中了 rootkit，理论上如果 rootkit 写得完善基本没法 online 清除，即使拔下来做 offline 分析都很难保证完全清干净……

建议不折腾

如果没法找出问题，最好直接重装，你都说是中了病毒了。

要是你实在不想重装，先做个全面的 rootkit 扫描吧，如果 ls rm 这类基础工具都是被替换过的，查来查去也没啥意义。

其它机器 scp 过去呢？

strace 一下看看？

最垃圾的是替换了二进制，垃圾点的整了 ld_preload，高端点的整了 LKM，可以研究但是不建议折腾，先把机器恢复靠谱点

rkhunter 扫一下试试看能不能扫出点东西

我司上个月被挖矿的搞过，top 显示 cpu 拉满，但找不到挖矿进程，挖矿脚本在系统里放了些 lib 文件，删掉就能用 top 看到挖矿进程了。到 /etc/ld.so.preload，/usr/local/lib/，/usr/sbin/.看下有没有隐藏文件，对比其他正常的服务器是不是多了文件。不过得确保 ls 命令没被搞坏

建议先重装系统，最省事

chattr -iae authorized_keys ,如果 chattr 不行就 chmod u+x /usr/bin/chattr.

楼上正解，如果没有 chattr 就下一个 busybox 来操作，挖矿病毒常规手段了

livecd 进去修吧
不能重启的话那当我没说

看起来像 ld_preload ？不过 mv 可以又有些奇怪了