服务器被攻破，求查找原因

key 登录 + OTP
然后开端口的服务都 nobody 下跑
看还怎么被黑

你怎么发现服务器被攻破的？就凭 rc.local 文件？

@pheyer
rc.local 被修改就够严重了吧，何况还被添加了一条下载并执行未知程序的一行。

连日志都没有
让大伙怎么查？

第一，只开 web 端口，第二， ssh 端口只对固定 ip 开放。第三，上传文件也只通过 ssh 端口上传。 结束。

是攻破还是你机子中马了

你怎么发现的？

被害妄想症患者表示很想知道。

是不是用非官网下载的 putty

有没有关掉用户名密码登录？

fail2ban 走起。

@airqj last 里没有看到异常登录，其他的我也不知道该去看什么了。。。

@sunsh217 除了第二条都有做，固定 ip 开放不太可行，但是有限制密码尝试次数。

@Guenlay
@lyragosa
不知道算是哪种，我只是知道 root 才能修改的文件被改动了，修改结果是自动下载并执行了一个文件。昨天系统出了奇怪的问题，所有用户都无法登录，显示 permission denial ，貌似是 SELinux 被玩坏了的原因，修改了／的权限并关闭了 SELinux 才解决问题。
@paw 啊，这个，它只是个计算服务器

@greenskinmonster 没有关掉密码登录，只是禁用了 root

@vicesa 这个可能性很高，有很多普通用户都是小白， windows 下的软件很不注意的，我回头要强调一下

不过我们几个管理员都是用的 linux ，密码泄露的风险很小，普通用户提权应该很困难吧，用的 centos 系统，也有按时更新的。

@initialdp 晚上我去试试，非常有用的信息。

开启了阿里云盾，一天收到 20 多个暴力破解预警~~~现在扫描的人真多呀！

@algas 「没有关掉密码登录，只是禁用了 root 」.... 公网机器一律禁止密码认证，关闭 PAM ，只许可 key 认证。

开了密码认证，不排除有用户使用弱(智)密码 /自行修改为弱密码 的可能性。

我遇到过一次，原因最后查出是我们的 root 密码太简单了，被人扫描出来了

顺手查了下办公室里一台作为连接局端网络和自有公网段路由器的 debian ， auth.log 昨天一天有 154 次 ssh 错误登录( 不存在的用户)，给扫描用的 ssh 用户名排序，前 10 位列表：

7 oracle
6 git
5 admin
5 a
4 test
3 ubuntu
3 sergeev
3 r00t
3 postgres
3 nagios

我的服务器每天都有弱口令扫描
drop 列表已经长的看不下去了 扫描就扫描吧 反正错 2 次就封 2 周 我就不信能猜到密码

各位，我有个 kvm vm 被攻破了，我还不确定是被中木马还是其它，一开机就疯狂的向外发流量，估计是做 ddos ，所以我不敢开机，但是我可以使用 guestmount 来挂载这个 vm 的 image ，这种情况下该如何检查。

我不明白：为什么要开密码登录？
你们密码长度直接 4096 位长度？