最近使用 ssh 登录服务器会出现一段 html 代码，请问是中毒了吗？我该怎么开始排查？

代码不发出来？

不好意思，重新编辑一直被 block ，发不出

bash -x
用这个命令检查

已经在 chatgpt 的指导下，检查过
1. service ， 没发现异常
2. ssh 相关的配置文件和 bash profile 等文件，也没发现问题
3. 服务器没有找到可疑的文件
目前没有什么思路，不知道有没有大佬指点一下

@afn988 好的，我试试

@afn988 没有看出有什么异常, 用这个命令登录 ssh user@hostname 'bash --norc --noprofile'，也还会输出那段代码，说明和 bash 的配置文件应该没关系

检查一下/etc/pam.d/下面的文件，可能这里有问题

图床挂了看不到，如果是 ubuntu 的话可以看看 /etc/default/motd-news

看看是不是 ssh motd 或者 ssh banner

登录执行 curl ？

@Kite6 centos7.6 的

@alvinbone88 这个目录下看着没有可疑文件，看时间都是 23 年以前的文件 https://imgur.com/undefined

@lxy42 系统是 centos7.6, motd 里面没内容，sshd_banner 也没有设置

@ferock 这个感觉很有可能，我要看看怎么定位到登录的之后执行了 curl

@yvkm92 我试了用 audit 审计日志，但是没抓到有执行 curl 的操作

@alvinbone88 https://imgur.com/8cI3lYX 里面没看出来有可疑的文件

你这个好奇怪啊 啥东西的输出也不太可能是一个 hello 和 index.js 吧
蹲一个大佬破案

直接 grep -F index.js -r /

做了什么美化输出然后获取信息的网站挂了而且有本地缓存？