服务器总是被黑，有没有什么好办法

你把你从拿到机器以来所有执行过的命令贴一下啊
是不是 DD 了某些奇怪的镜像？是不是把某个软件设置了高危的权限？

@mokeyjay
系统镜像是搬瓦工提供的 ubuntu1804 镜像
命令我要看看

感觉是你安装完系统，安其他工具的时候，用了奇奇怪怪的脚本，在那个时候就给你种上木马了

@tulongtou 没有用过哪些网上的脚本，有一些配置脚本都是自己写的，下载的也都是 github 上 shadowsocks 官方的二进制文件

是不是 bwg 的账号被黑了呀

@lcdtyph 这个我有怀疑，但是 bwg 账号的登录记录我看了一下 没有异常登陆，并且如果账号背黑了，另外的一台服务器好好的。。

可能是旧版 nginx 的一些提权漏洞，或者 ss 本身的提权漏洞。另外还有可能是你的某个客户端中毒了，在不断通过 ss 代理发送垃圾邮件导致被封

先看一下防火墙开了哪些端口, 然后再重点排查监听这些端口的程序.

另外, 建议将这些程序降权运行, 不要 root 直接开跑.
系统也要及时更新.

@lcdtyph 另外还有可能是你的某个客户端中毒了，在不断通过 ss 代理发送垃圾邮件导致被封
突然觉得这个还真的有可能。。。

会不会是你自己本地用的 ssh 客户端有问题

@nijux 用的 windows 自带的 ssh 。。

试试设置密钥登陆 不要用密码

@viosey 我配置完机器之后，直接把 ssh 服务关了。。。
我还查了一下机器最近的登陆记录，没有人登陆

改防火墙，把 25 端口禁了

不应该呀，有后续记得艾特我

插眼，蹲个后续大神的分析

这显然是你客户端的问题

@mokeyjay
@lcdtyph
@zhlxsh

1. 我特意查看了一下 lastlog 、最后的登陆记录，都是我自己没有别的登陆
2. 包括最后执行的命令 ，都是我自己执行的没发现别的可疑命令
3. 服务器重启后我看了端口 只有 80 443 ssh 端口，再没有看到邮件端口。

最后执行的命令（都是我自己执行的）



root@livevideo:~# cat .bash_history
sudo apt update
sudo apt upgrade
reboot
ls
cd /var/log/
ls
cat auth.log
cd
w
who
who am i
w
w --help
w -o
sskey
cd
ls
cd .ssh
ls -a
ufw
ufw status
service ssh status
service ssh stop
ls
service ssh status
exit
sudo apt upgrade
sudo dpkg --configure -a
ls
mkdir ss_proxy
cd ss_proxy/
ls
wget https://gist.github.com/xxx/installEnv.sh （自己写的 ss 安装脚本）
ls
sh installEnv.sh
ls
cat config.json
vim config.json
vi config.json
apt install vim
vim config.json
ls
cat run.sh
./run.sh
su run.sh
sudo sh run.sh
ls
ufw
sudo apt install ufw
root@livevideo:~#

现在非常怀疑，是不是我的某个 ss 客户端中毒了。。

@ZRS 我现在也在怀疑。。

我觉着是你代理的问题，我之前遇到过这个情况，后来排查觉着可能是自己的代理密码太弱了，或者是客户端中毒了，直接顺着你的代理发送垃圾邮件了