最近使用 ssh 登录服务器会出现一段 html 代码，请问是中毒了吗？我该怎么开始排查？

代码不发出来？

不好意思，重新编辑一直被 block ，发不出

bash -x
用这个命令检查

已经在 chatgpt 的指导下，检查过
1. service ， 没发现异常
2. ssh 相关的配置文件和 bash profile 等文件，也没发现问题
3. 服务器没有找到可疑的文件
目前没有什么思路，不知道有没有大佬指点一下

@afn988 好的，我试试

@afn988 没有看出有什么异常, 用这个命令登录 ssh user@hostname 'bash --norc --noprofile'，也还会输出那段代码，说明和 bash 的配置文件应该没关系

检查一下/etc/pam.d/下面的文件，可能这里有问题

图床挂了看不到，如果是 ubuntu 的话可以看看 /etc/default/motd-news

看看是不是 ssh motd 或者 ssh banner

登录执行 curl ？

@Kite6 centos7.6 的

@alvinbone88 这个目录下看着没有可疑文件，看时间都是 23 年以前的文件 https://imgur.com/undefined

@lxy42 系统是 centos7.6, motd 里面没内容，sshd_banner 也没有设置

@ferock 这个感觉很有可能，我要看看怎么定位到登录的之后执行了 curl

@yvkm92 我试了用 audit 审计日志，但是没抓到有执行 curl 的操作

@alvinbone88 https://imgur.com/8cI3lYX 里面没看出来有可疑的文件

你这个好奇怪啊 啥东西的输出也不太可能是一个 hello 和 index.js 吧
蹲一个大佬破案

直接 grep -F index.js -r /

做了什么美化输出然后获取信息的网站挂了而且有本地缓存？

/etc/pam.d/setup 这个没问题？

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIHrSa049hCfpMgn9NNIxokqfAEcHNMD9Gm1IZJ6PE3ZN

给我加服务器上,我帮你找

修改下 bash profile 之类的,加几个 echo 确定是在 source profile 之前还是之后.

之后的就简单逐行排查下.

之前的话开个终端 tcpdump 一下非 ssh 端口的流量,看看是往哪里的请求.
拿到 ip 之后再 ss/netstat/ps 之类的脚本挂着看下触发的命令行是什么.

@ysc3839 没搜索到关联的

@BeautifulSoap 我用的是 termius ，我已经发邮件他们了，大概率不是这个问题，我已经用了好久了，如果有这个问题，理论上其他服务器也有才对

@newaccount setup 只有下面的内容，没看懂
#%PAM-1.0
auth sufficient pam_rootok.so
auth include system-auth
account required pam_permit.so
session required pam_permit.so

@InDom 公司的服务器，我不敢呢

@InDom 昨天提供工单给腾讯云那边检查，他们回复说是病毒导致的，也没有找到什么问题，然后叫我重装系统。目前系统没出现问题，所以还想挣扎一下。

你想挣扎什么？挣扎不用重装系统？如果攻击者有能力篡改 root 权限的文件的话，那对方早就能把操作系统的核心文件全给你替换成带毒文件了。系统你留着做攻击分析是可以，但不第一时间重装系统的话，你们公司的 IT 可以开掉了说实话。

@msg7086 这个是测试的服务器，所以没选择第一时间重装，确实是有侥幸心理。 小公司没有 IT ，开发都有权限登录上去，管得比较松