我又来了， Linux 服务器关了 ssh 密码登录都还被入侵

好奇一下，ssh 登录都不开，那你怎么登上去的？

fail2ban 你值得拥有...

@ChristopherWu 是密匙吧

血的教训，自己搭环境。或者 lnmp 套

最近开了一台腾讯云学生机，每天都有大量的其它机器尝试 ssh，然后我限制特定的 ip 段才可以 ssh 就安静了。其它机器尝试 ssh 直接拒绝掉，没有暴力破解密码的机会。
在 /etc/hosts.allow 和 /etc/hosts.deny 设置。

你的网站有漏洞，网站地址呢，不给怎么定位问题

比如要是你装了 dedecms。。。（手动狗头

crontab /etc/crontab 看下有没有其他的定时任务。我接手的一个服务器就是被之前的工程师在里面挂任务，凌晨定时替换密钥文件，半小时后再换回去的；
netstat -nltup 查看本机开放了哪些端口服务，防火墙只允许通过业务使用的端口
查看本机是否被添加了用户，调整用户权限。
阿里云之类的话，需要做好账号保护，再就是你是否设定了账户的管理 key，然后写在代码 /app 里，然后被拿到。

再就是各种默认管理配置链接都是有人扫的，如果你开放了访问权限，仍然是坑，应用的部分不需要客户访问的要做好目录权限。

比如没加认证的 redis

推测是你的网站本身漏洞，正如前几楼提过的通用型 cms

正确设置下系统本身的软件如 ssh/ftp 什么的漏洞几乎不可能，有也不会用到你这样的小站。
基本还是你用什么漏洞多的应用了吧，比如国人写的 php cms

我其实挺感兴趣这些服务器漏洞的攻击和防御的。

我用过一段 dhcp，会卡死，换是 lnmp 省心多了。一直以为我这种没流量的网站不用管安全问题，上次查了日志，赶紧禁用了 root 直接登录，加了 fail2ban。之前 wp 模板中过招，尽量自己写主题，别用乱踢八糟插件。其他 cms(织梦除外)，只用官方东西应该也一样安全。

重置系统然后先用 lynis 查查看？

一个一个排除嘛,如果是你 web 程序的问题,这得分析分析日志,找出具体是哪个文件哪行代码出的问题,然后把这个 bug 补上,然后在排查一下服务器自身的挂马情况,数据库挂马情况

用 cms 一定要经常更新版本

不要用面板

楼主，为啥不用宝塔呢？ WDCP 已经死了，指不定人家知道 WDCP 的漏洞在哪里，直接使用漏洞进 WDCP 的后台，开 SSH，登录进去。或者你的网站程序有漏洞。这就没有办法了。修补漏洞吧。

楼主最好把日志文件放上来，供大家给你分析一下。

程序有漏洞，在环境上想保护起来太难了。。除非你能定位漏洞的类型和作用。。不过这样基本上也可以手动清除了

所以，技术或经验不足，还是别买服务器折腾了，直接买成熟大厂的托管服务了事，比如 Wordpress 就直接买 Wordpress 岛 卡姆 自家提供的服务什么。