最近服务器宽带一直被跑满，用 nethogs 查询如下，都是 ssh 占用的，请问下是大概是什么原因？被黑了吗？

重启后，宽带占用会慢慢跑到满

NetHogs version 0.8.5                                                                       
                                                                                          
    PID USER     PROGRAM                                  DEV        SENT      RECEIVED     
   9480 root     ssh                                      eth0        8.704       4.451 KB  
  11599 root     ssh                                      eth0        7.364       3.988 KB  
    358 root     ssh                                      eth0        7.644       3.748 KB  
  30810 root     ssh                                      eth0        9.798       3.611 KB  
   2598 root     ssh                                      eth0        8.431       3.230 KB  
   2572 root     ssh                                      eth0        9.874       3.230 KB  
  31839 root     ssh                                      eth0        8.431       3.230 KB  
  12350 root     ssh                                      eth0        8.703       3.170 KB  
   6843 root     ssh                                      eth0        6.629       3.158 KB  
   4896 root     ssh                                      eth0        8.472       3.104 KB  
  32713 root     ssh                                      eth0       10.140       3.104 KB  
   6748 root     ssh                                      eth0        7.416       3.002 KB  
   1309 root     ssh                                      eth0        6.411       2.926 KB  
   9289 root     ssh                                      eth0        7.015       2.924 KB  
  14902 root     ssh                                      eth0        6.661       2.100 KB  
   6748 root     ssh                                      eth0        7.416       3.002 KB  
  15564 root     ssh                                      eth0        6.493       2.947 KB  
  12309 root     ssh                                      eth0        6.411       2.826 KB  
   9289 root     ssh                                      eth0        7.015       2.824 KB  
   1676 root     ssh                                      eth0       15.860       2.867 KB  
   1580 root     ssh                                      eth0        7.981       2.900 KB  
  31935 root     ssh                                      eth0        6.515       2.900 KB  
  11618 root     ssh                                      eth0        8.453       2.891 KB  
  32289 root     ssh                                      eth0        8.063       2.883 KB  
  12399 root     ssh                                      eth0       10.033       2.847 KB  
   7625 root     ssh                                      eth0        7.694       2.865 KB  
  11565 root     ssh                                      eth0        6.490       2.863 KB  
  11422 root     ssh                                      eth0        5.853       2.850 KB  
   8332 root     ssh                                      eth0        8.011       2.850 KB  
   1419 root     ssh                                      eth0        8.686       2.742 KB  
  10507 root     ssh                                      eth0        3.827       2.777 KB  
   6771 root     ssh                                      eth0        6.700       2.778 KB  
  32108 root     ssh                                      eth0        5.878       2.838 KB  
  13732 root     ssh                                      eth0        5.099       2.834 KB  
  14496 root     ssh                                      eth0        8.185       2.787 KB  
   9219 root     ssh                                      eth0        9.316       2.777 KB  
   6346 root     ssh                                      eth0        7.312       2.777 KB  
  10847 root     ssh                                      eth0        9.438       2.773 KB  
   8793 root     ssh                                      eth0        7.394       2.773 KB  
  32048 root     ssh                                      eth0        6.334       2.766 KB  
   4570 root     ssh                                      eth0        6.177       2.762 KB  
   3766 root     ssh                                      eth0        5.550       2.762 KB  
  32106 root     ssh                                      eth0        4.499       2.662 KB  
  13363 root     ssh                                      eth0        3.011       2.623 KB  
   1268 root     ssh                                      eth0        9.164       2.623 KB  
  14645 root     ssh                                      eth0        8.555       2.713 KB  
  13679 root     ssh                                      eth0        8.472       2.711 KB  
  TO081                                                            4839.906    1024.711 KB  

tcpdump -i eth0 -s 100 -w aaa.pcap 抓个包看看。

查看一下所有用户账号，看看有无非你添加的账号
修改 ssh 端口，限制 ssh 只能在某些 ip 段登陆
你服务器可能被用 ssh 上网了

ssh 改端口，密码，基本上是被黑了

只是名字叫 ssh，实际上可能并不是，或者被替换了。查一下这个进程的具体可执行文件是什么吧。

莫不是免费 ssh 代理（笑






谢谢各位，我的问题，crontab 里 加了一条 死循环的 shell (捂脸

楼主 6 楼有答案了，不过我还是借题说下我的第一感觉，是远程端口被爆破中，6 楼题主说的应该也是类似于自己在爆破的效果

被做成代理了。

考虑关闭 ssh 的密码登录 使用 ssh 密钥对登录方便安全
可以考虑在自己手机上安装个 ssh 应用 这样即使需要用到他人机子 用 ssh-keygen 生成个密钥传给手机然后手机上传服务器，只要带了手机就不怕登录不了服务器
非自己机子登录服务器之后记得走前把密钥删掉

哈哈，看笑了

早上想改自己的 crontab，就是担心类似的问题，决定先不动了。O(∩_∩)O~