实验室服务器被黑，黑客把 /home 目录下面的文件夹全部删掉了，留了一个 READ_ME.txt （ http://pastebin.com/raw/QtP1vN47 ），大意就是文件已经被加密，支付两个 BTC 拿回文件。文件本身并不是很重要，就怕万一系统留下了后门。目前已经用 rkhunter 和 chkrootkit 扫过一遍，但是还不是很放心，有没有办法彻底检查一下？
重装是最好的办法。

硬盘拆下来接到另外的电脑上用 16 进制模式充 0 ，还担心就把 bios 重新刷下

明白。

5 块 8T 的硬盘这得填多久

可以只填充硬盘头

快速格式化下不就成了，难道木马还能蹦出来？

把磁盘重新分区格式化一下就行了

记忆中快速格式化是不会修改引导信息的，而有些恶意软件就存在于里面，并且快速格式化只是改了分区表信息，实质上数据还是在那里，不知道我说的对不对，求大神求证下

sudo rm -rf --no-preserve-root / 逃......

所有的文件数据都是放在索引里面，索引没了，文件数据就变成一堆 01010101 了。下次你弄个新的分区，这些索引不见了，自然文件也就不存在了，我目前没有看到能从硬盘上一堆 10101010 自动复活的木马以及计算机病毒。
刷下 bios 倒是有必要

引导分区重写一遍 0 就好 那块区域不大

处理掉二手买新的

重新分区最简单

重新分区，重装系统，
修改 ssh 默认端口，做好防范避免再中招

dd if=/dev/zero of=硬盘 bs=512 count=64

格式化不会修改分区表。
清除 MBR 需要直接在前 63 扇区上涂改。
一般这种情况下，清掉前 2048 扇区和尾部的 100 个扇区就足够了，可以同时应对 GPT 和 MBR 的情况。
然后再重新分区装系统即可。
刷 BIOS 没必要。

参见：/t/302088

1.具体查一下到底是什么原因被黑，洞在什么地方
2.重装系统，保险起见引导区也刷一遍
3.补洞，防火墙配置好，只留必要端口
其实只开放必要端口，保证端口后面的服务进程没有漏洞，服务进程权限降到尽可能低，就没有什么安全问题
有安全问题也是系统级的，等着打补丁