有一个 linux sever
ssh-copy-id 之后也成功了
但是 用 key 一直登录不上去
用密码登上去之后发现一条 /var/log/secure 的记录

Dec 22 11:21:09 10-19-25-123 sshd[12475]: Authentication refused: bad ownership or modes for directory /root

然后看了一下 /root 的权限
drwxr-xr-x. 10 501 games 4096 Dec 21 05:40 root

又看了一下 /root 下的几个文件夹也都被改了权限

drwxr-xr-x 7 501 games 4096 Dec 21 02:17 .git
drwxr-xr-x 5 501 games 4096 Dec 21 10:52 cxxxxp （一个 scapy 爬虫）


这尼玛是啥玩意？难道被入侵了吗？我之前的密码是很复杂的啊。。。麻痹的。。。到底怎么回事。。。
爬虫里面还有一个很重要的网站的用户名和密码
/root/.git ？
你不是 rsync -a 指定错目录了吧？

开 ssh 我上去看看


我看了一下 cat /root/.git/logs/HEAD 是我自己的记录
但是这个 games 用户很奇怪 不知道哪里来的。。。。

这不可能。。。生产服务器啊

/var/log/secure 里找到几个 gamse 的这些信息。。。
但貌似也没登录成功吧
Dec 21 01:07:08 10-19-46-62 sshd[26743]: Invalid user syncro from 36.97.143.13
Dec 21 01:07:08 10-19-46-62 sshd[26744]: input_userauth_request: invalid user syncro
Dec 21 01:07:08 10-19-46-62 sshd[26743]: pam_unix(sshd:auth): check pass; user unknown
Dec 21 01:07:08 10-19-46-62 sshd[26743]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.97.143.13
Dec 21 01:07:08 10-19-46-62 sshd[26743]: pam_succeed_if(sshd:auth): error retrieving information about user syncro
Dec 21 01:07:10 10-19-46-62 sshd[26743]: Failed password for invalid user syncro from 36.97.143.13 port 39767 ssh2
Dec 21 01:07:10 10-19-46-62 sshd[26744]: Received disconnect from 36.97.143.13: 11: Bye Bye
Dec 21 01:07:10 10-19-46-62 sshd[26745]: Invalid user sysgames from 36.97.143.13
Dec 21 01:07:10 10-19-46-62 sshd[26746]: input_userauth_request: invalid user sysgames
Dec 21 01:07:10 10-19-46-62 sshd[26745]: pam_unix(sshd:auth): check pass; user unknown
Dec 21 01:07:10 10-19-46-62 sshd[26745]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.97.143.13
Dec 21 01:07:10 10-19-46-62 sshd[26745]: pam_succeed_if(sshd:auth): error retrieving information about user sysgames
Dec 21 01:07:12 10-19-46-62 sshd[26745]: Failed password for invalid user sysgames from 36.97.143.13 port 39997 ssh2
Dec 21 01:07:12 10-19-46-62 sshd[26746]: Received disconnect from 36.97.143.13: 11: Bye Bye
Dec 21 01:07:13 10-19-46-62 sshd[26747]: Invalid user sysgames from 36.97.143.13
Dec 21 01:07:13 10-19-46-62 sshd[26748]: input_userauth_request: invalid user sysgames
Dec 21 01:07:13 10-19-46-62 sshd[26747]: pam_unix(sshd:auth): check pass; user unknown
Dec 21 01:07:13 10-19-46-62 sshd[26747]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.97.143.13
Dec 21 01:07:13 10-19-46-62 sshd[26747]: pam_succeed_if(sshd:auth): error retrieving information about user sysgames
Dec 21 01:07:14 10-19-46-62 sshd[26747]: Failed password for invalid user sysgames from 36.97.143.13 port 40246 ssh2
Dec 21 01:07:14 10-19-46-62 sshd[26748]: Received disconnect from 36.97.143.13: 11: Bye Bye

501 一般是系统里第一个普通用户； games 在这里是 owner group
这么看来，首先你的 /root 目录的 owner 被改了，其次 501 号用户被显示为 501，是因为无法找到 501 对应的用户名，也就是 passwd 文件，或者 nsswitch.conf 已经被破坏了
/root/.git 存在，说明 /root 是一个 git repo。建议进去执行 git remote -v 看一下是从哪儿 clone 回来的
怀疑有人在 /目录执行
sudo git clone XXXrepo root
命令，把你的 root 目录覆盖掉了

真黑进去能让你发现？不过也没准

开不了，我也帮不了你撒。这个问题需要多方面去查看记录和日志

楼上这哥们不止一处看到他直接让人家给他 ssh 了。。。

看看你上边装的有什么服务，去官方跟跟，有一类人扫 IP 段专门钻洞的
查查进程，说不定是挖矿的。。

ps aux 进程来一份 记得脱敏

哪怕自己玩玩的服务器都不带开 ssh 给别人排查问题的吧。。。

被当跳板机给人用来攻击别的服务器了