如果怀疑有硬件后门....

应该是物理接触

机房掉电？

@VmuTargh 物理接触应该不会，有这个技术的已经是管理员了...


@xuboying 只有这一台机器重启，而且确实多了一个 root 用户。

BIOS 中的 Anti Theif 之类的功能估计可以实现，记得 windows 还会生成几个删不掉的.dll 文件，联网就上报机器位置什么的，我就猜测下，楼主可以进服务器 BIOS 看看，不行就刷下 BIOS ？

重启到单用户，操作用户密码或权限，再正常重启，然后...，应该有物理接触吧

我有个奇葩的 idea ，让显示器开着 tail 日志，再拿个摄像机对着屏幕

等待高手解答～

难道是神秘莫测的 badBIOS 出现了？
楼主安装完后发现再次感染期间有联网或者连接其他设备没，没有的话怀疑 bios ，最后排除法，这个很有意思，找出来写篇文章，表示关注

IPMI ？

还有一种可能性，带木马的 ssh client ，看了 LZ 的上一贴，虽然禁止了 root 登录，但有 sudo......

服务器主板用的是传统的 BIOS 还是 UEFI ？后者我也没用过，不过据说其实就是个小型的 Linux ，搞点恶意代码改写硬盘上的文件系统，应该是有可能的。。。

另外，建议在机柜上装个网络摄像头，有可能是机房工作人员或其它能物理接触机器的人员搞鬼。

你服务器开了什么服务....是不是那个服务有问题？不可能只开放了个 22 端口吧，如果是，再怀疑是硬件后门不迟。
另外，不用非官方源试试？

@winkidney
非常有用的信息，我们现在在核对这个

@ChangeTheWorld
如果还需要重装系统的话，肯定要去看 bios 了，不过刷服务器 bios 还是满虚的


@tobylee
@BSD
机房就是我们自己的，我觉得内部人士动手脚的可能性很小很小，因为有这个能力的人已经是管理员了，其他都是 windowsers ...，而且黑进来后的一些细节也暗示应该是外来入侵
服务器用的 BIOS ，没有 UEFI

@tracert
管理员用的 ssh 是源里的，普通用户有可能会使用被加了后门的 ssh-client ，但是对一个很好更新的系统本地提权... 只能说不能否认这种可能性

@janxin
只开了 22 端口，真的，这个服务器是做数值计算的，目前上面没有任何盗版甚至私有软件，准确的说我们目前只装了 gcc 系列

@nicevar
安装好（更新和安全配置都完成）之后静置了 24 小时，这段时间有网络连接， sshd 开启，之后发出了两个普通用户密码，其中一个是 linux user ， 20 小时内发现服务器重起，多了一个 root 用户。

你本机有没有木马

如果换个 IP 试试咧？

@shiny
应该没有，上次服务器被黑之后就仔细检查过自己的电脑，
没有多余用户，没有奇怪进程，没有多余的网络连接， last 里没有奇怪记录，
最重要的是，如果管理员的电脑被黑了，那么应该还有其他服务器被黑才对

@cevincheung
恩，这个治标不治本啊，迟早会被再被对方扫到吧

把这台服务器配置为内网 ip ，另搞一台 pc 配外网 ip 再反向映射到这台服务器的内网 ip 上，然后在 PC 上持续抓包，看到底是不是真的是外网攻击。

我还是比较怀疑是你们内部人员搞鬼，或者是恶作剧调戏你，或者是要整你。。。。