我又来了， Linux 服务器关了 ssh 密码登录都还被入侵

@abccccabc 宝塔比 WDCP 能好到哪儿去？

开 ssh，让我上去看看

@yiranHZT 我关密码登录，换 ssh 端口，就没问题了。

一般不建议使用面板。
不过从前你说的明显是网站被挂马了，和面板，环境都没关系。黑你的根本不需要你的 ssh，ftp 密码。
仔细查你的日志。另外用杀毒软件查一下你网站文件。
网站是你自己写的？如果不是的话，不建议去使用来历不明的源码。即使要用自己先排查。。。

@tadtung 上面挂着一个 Discuz! X3.4，一个静态页，一个自己找人开发的自用的 PHP 程序。。Discuz! X3.4 应该不至于有这么轻易就被人入侵的漏洞吧。 那就可能是那个找人开发的 PHP 程序了。。 但是我用 webshell 查杀工具扫描过文件没找出任何问题。我自己的话并不会程序所以看不出来 大佬你会看吗？ 帮我看看把 请你抽包烟。

@doufenger 把你找人开发的 php 程序发给我 我晚上要是有空帮你看一下。 mail:tad@live.in
另外 dz 不要随意安装不明来路模板和插件。尤其是一些破解插件，很多都有后门的。

比如
服务器文件权限
上传验证
redis
入口文件放置问题
错误提示会不会暴露版本信息之类的
程序上能找的漏洞挺多的

@tadtung 好 谢谢了 DZ 的插件我都是从应用中心买的 都没安过其他渠道的

@lscho 大佬，请问如果用 docker 部署的话，能规避应用漏洞的问题嘛

@mrchi 容器隔离没有问题的话一般最多被搞一个容器

旁路攻击

@wqyyy 谢谢，想来是 docker 容器跟宿主机不是一个系统，但还是通过网络连接的，风险还是有的，该做的防护还是要做。

先解决 SSH 本身的问题：
1. 查看是否有可疑用户
2. 关 root 登录改用 sudo 用户
3. 只允许 ssh-key 登录
4. 改默认 22 端口到别的地方

再看数据库
1. 有没有屏蔽外来访问
2. 有没有做 SSL 安全连接
3. 最好和 App 服务器做一个内网访问
4. 如果是同一台服务器下的，用 socket 方式访问，关掉 3306 等端口

再看项目
1. 有没有异常 nginx/apache 日志（通常注入漏洞都这里发现的）

@ihciah dedecms 可还行，都被玩烂了 23333

@Miary 至少在当前情况下，一个死了，一个活着。