如果怀疑有硬件后门....

坐等原因，希望楼主更新

没有物理接触为什么要重启，演员？机房没有监控吗？

我赌是软件原因

服务器应该有带 bmc 吧，检查下 bmc 是不是被黑了

有点神奇啊，围观。

BMC 的锅，以前在谷歌上就搜到过一个没有修改默认密码的 IPMI ，直接就进去了

@dzxx36gyy 如果他们不知道这个模块，也就很有可能没给这个模块插网线吧

有点走近科学的味道了，不错

我想起了之前 V 站上有个哥们发帖求没有后门的菜刀

记录一下先，楼主有新的情况记得发上来看看

我感觉是楼主的 key 被偷了。。

服务器补丁打全了吗

还有个方法,找个安全公司做渗透测试

物理主机倒是确实有可能是 BMC 的锅

@shiji 说不定他们认为那只是个备用的网卡口，然后顺手插上了 :doge

不排除物理接触的可能。但这种可能性太小了。
每次中招都伴随着重启，我倒觉得这很可能是远程溢出。
以前做测试的时候发现有关过类似的漏洞，那次对方是 win 服务器，开了远程桌面连接。直接用远程溢出让对方蓝屏，服务器拒绝服务。想必从中注入恶意代码也并非难事。
楼主查一下服务器上开放的各个服务的版本号，搜索下这些版本号，看看有没有爆漏洞。无论是 ssh ， web 容器，还是数据库什么的。尽量把这些东西升级到最新版本，并让每个服务用不同的低权限账户运行。用最低权限的方法，权限分配尽可能的小。
还有就是你的网站了，网站有漏洞的话服务器也会受影响，例如攻击者拿到 webshell 传个本地提权的工具上来，所以系统内核也要升级。
一定要尽可能的低权限：例如数据库只需要读就行了，那么就只开 r 权限，并且把帐号限定到那一个目录。
selinux 都被玩坏了。。这可是只有 root 才能干的事情。密码是否弱口令了？
如果是 0day ，除了等补丁，那就真没办法了。。。

@dzxx36gyy
真不知道有这个模块，我们一般只是报配置，因为都是数值计算用的。

@ericls
没有了吧，大概，反正端口只有开放 22 。

@gpw1987
见附言

@flexbug
系统更新是定时任务，一天两次

@onice
服务器倒是没有开什么服务，我们主要的安全问题可能是有不少的普通用户，用户名和密码泻露的可能性比较大，但是只要对方不能本地提权，我们也能接受

@jemyzhang
手动更新提醒～

@tairan2006
国有资产...

@xhat
前两次重装系统的时候都有重新写引导，所以 mbr 应该被覆盖了

@winkidney
检查结果，多了一个用户....

最后的结果真的相当于硬件后门...

硬件后门，这跟我以前看过的小说巅峰黑客非常的像呀，哈哈

@algas 数值计算的，这种机器为何非得直连公网且进行系统更新开放一堆乱七八糟服务？
是你们单位自己家机房吧？
我教你个简单玩法。

1. 买个 TPLINK 最便宜的路由器，几十块钱足够了，把路由器接公网，配好外网 IP ，开放 web 管理远程访问（ WAN 口访问管理）， tplink 的密码设置为 20 位以上的
2. 把你的计算服务器放到这个这个路由器下面去， NAT 上网，如果你的计算程序需要监听端口，从路由器上做端口映射
3. 需要 ssh 远程登录的时候，先上 TPLINK ，建立一个端口映射，随机的用三万以上高端口，映射到服务器 22 ，用完删掉


其实，这就是搭建了一个小型的防火墙而已……