公网上一台 centos7 的服务器被来自纽约的 ip 入侵并植入了 xm64 挖矿木马，在 public 用户（同事自建的用户）下运行，幸好不是 root 。

清理了木马后，排查了下，在 secure 日志中发现是用户 public 通过 publickey 密钥登录之后搞的（登录时间和木马生成时间一致）。

public 用户目录的.ssh 目录下有 authorized_keys，有经询问同事，并没有建 public 用户的密钥登陆，并且登录密码很复杂。

服务器上跑着 oracle 、supervisord 、zabbix 客户端、urbackup 客户端，但这些程序的端口都被 firewalld 防火墙屏蔽了。

到现在还没搞明白怎么入侵进来的，希望有大神指点下，谢谢啦。

需要看看 public 用户.ssh/authorized_keys 里面内容

看看安装这些的时候有没有用不知从哪拷过来的一键脚本......

之前听说 xshell 带后门，你不会用的 xshell 吧，密码泄露

只有公钥是不足以造成数据泄露的，必须还要有对应的私钥才能解密。楼主甚至可以把公钥和 IP 贴出来，这里也没有人能够成功入侵服务器(当然 IP 贴出来被人扫端口无法阻止)。如果真的被有效入侵，肯定私钥也被泄露了

1 、SSH 不管使用多复杂的密码登录, 理论上都是不安全的
2 、日常使用中如果有使用一键脚本, 则脚本内可能有私货
3 、如果使用有漏洞的客户端工具, 包括某些版本的 xshell 、破解版的各种客户端、国内小网站下载的 putty, 则可能被植入后门
4 、内鬼

我先来一波，我有台服务器运行着 sshd 进程，地址是: [email&/>authorized keys 里有一个 RSA Key 如下:
ssh-rsa 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 [email&/>欢迎各位骚扰, 80 端口是我正在开发的个人主页: http://158.247.203.9 有暗黑模式哟

楼上是蜜罐吗？

直接用了 root 账号，ssh 默认端口 也没有修改，SSL/TLS 也没加，等待被教育

可能是吧，专门吃