服务器被攻击，请大佬指点一二

某个服务被爆栈溢出或者逃逸，写文件了……

服务不应该用交互登录的帐号来跑。

拿你服务区当梯子或中转了，输入 x-ui 可以查看面板信息，登入进去瞅瞅都配置了啥

@adoal 我不太清楚，感觉 vps 被人登陆了一样。不然没法解释.ssh/authorized_keys 都换成他的了
@x86 x-ui 进去看账号都是我自己配置的，没有多的。
traffmonetizer/cli_v2
containrrr/watchtower
fazalfarhan01/peer2profit
这几个东西都不知道怎么被装上去的，而且这台 vps 不是第一次装这几个东西。

@findwho 看来你不懂我说的什么意思。具体解释一下吧，比如你用 findwho 这个帐号登录了，然后同一个帐号下载某个 web 服务的软件（就先假设是 x-ui 吧），用这个帐号安装软件，再用这个帐号启动软件，那么软件 x-ui 运行时的用户身份就是 findwho ，那么帐号 findwho 能做的操作，x-ui 这个程序都能做。如果你装的这个 x-ui 的版本有代码漏洞，又没及时更新修补，或者有配置上的漏洞，那么别人有可能通过远程 web 访问就让它执行任意操作，这时别人就可以指挥 x-ui 在 findwho 的家目录里肆意妄为，包括但不限于改动.ssh/authorized_keys 文件，甚至可以改动安好的 x-ui 程序，在里面埋上更隐蔽的木马。一个合理的办法是，用专门的服务帐号来启动 x-ui ，并且要写 systemd unit 来启动，不要用能 login 的帐号，还要给这个帐号设置合理的 home 目录和 shell ，让它不能乱写入也不能登录。

所以 Linux Standard Base 里的 Filesystem Hierarchy Standard 推荐了文件系统里不同路径配置不同权限做不同功能的建议，rpm/deb 等发行版打的包也会在安装时为后台服务创建专用的非交互帐号。

证书被换了，第一时间想到了 redis 。。

@adoal 好的，非常感谢。向我这种情况该怎么查。目前就这两个发现。
其实刚登陆 vps 的时候，发现 cpu 占用很高，某个异常应用占的，然后我直接 kill 了，没注意路径。

x-ui 有好多漏洞的。我自己不敢用。

楼主这是被弱口令爆破了，我前两天轻量也遇到了这个问题，占用较高是因为有 kswapd0 进程在挖矿。可以按照网络上的操作修复该问题，清理定时任务，移除.ssh ，修改密码等。另外建议别用一键脚本，自己搭建好一些。https://zhuanlan.zhihu.com/p/465487828