服务器被攻破，求查找原因

很简单， ssh 配置私钥和公钥

@ioiioi 直接扔个云盾上去看他们怎么玩

封闭所有端口, 除了必须公开的.

这服务器是你自己一个人用的，还是有别人有账号？

@knightlhs 改个 5 位数端口就好了。

用了 key+禁止密码登陆，暴力破就老老实实的了

以后用 denyhosts 就行了，动态防止暴力破解。 google 开源出来的小工具。

禁止 root 登录，禁止密码登录，改 ssh 端口号，就差不多了。

@ioiioi iptables 禁止外网访问 开启外网访问白名单 就可以消除症状了 然后查找问题 并解决。
另外这个好处就是 即使服务器别人攻破 也不容易下载木马到服务器上

突然想起很久以前汉化版 putty 后门的事情
@algas

@likuku
一天才 154 次？
重点机房 IP 段，一天 15400 次都不止
不改 ssh 端口就是噩梦……

@greenskinmonster 「改个 5 位数端口就好了。」只改端口？别逗了，安慰剂不能滥用。

@likuku 看上下文语境啊，这位。除非有人定点攻击你。否则的话，改个 5 位数端口，就能避免 99%的弱口令扫描。那种无脑扫描的不会把时间浪费在一个 IP 上面。

@keinx 换个 SSH 端口呀。

@likuku 如果你的服务器被人盯上了,不仅改端口没用,甚至你连只允许私钥登录都没用(0day 的后门多着哪,鬼才知道 Linux 有那些还没有被曝光的 oday 漏洞?)

但是一般情况下,你只改改 ssh 端口,的确能避免很多人的攻击.

我就说一个帖子里还没提到的：如果你有 redis ，并且以高权限的身份运行，还对外暴露了，那么可以通过 redis 持久化的方式，向指定路径写一个公钥，这样攻击者拿着对应的私钥就能直接 ssh 你的机器了。

建议日志专门用一台机器，把所有日志都集中收集起来，起码也方便以后查问题。

无任何线索，会不会是 heartbleed ？

最近观察了一下服务器的情况，顺便等计算任务结束，回复大家晚了很抱歉。
我会在附言里讲讲后来的处置，给故事结个尾。

@Guenlay
我们也是猜可能是某个普通用户的密码泄漏了，然后被本地提权。

@nekoyaki
你提供的思路开阔眼界了，不过机器上没有开 redis 或类似的服务。

@lightening
据说 heartbleed 不会导致 ssh 密钥泄漏

@algas 　你有泄露秘钥吗？我看你描述，有人非法登录的你的服务器而已，并不一定获取了你的私钥。