最近使用 ssh 登录服务器会出现一段 html 代码，请问是中毒了吗？我该怎么开始排查？

/etc/pam.d/setup 这个没问题？

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIHrSa049hCfpMgn9NNIxokqfAEcHNMD9Gm1IZJ6PE3ZN

给我加服务器上,我帮你找 🐶

修改下 bash profile 之类的,加几个 echo 确定是在 source profile 之前还是之后.

之后的就简单逐行排查下.

之前的话开个终端 tcpdump 一下非 ssh 端口的流量,看看是往哪里的请求.
拿到 ip 之后再 ss/netstat/ps 之类的脚本挂着看下触发的命令行是什么.

@ysc3839 没搜索到关联的

@BeautifulSoap 我用的是 termius ，我已经发邮件他们了，大概率不是这个问题，我已经用了好久了，如果有这个问题，理论上其他服务器也有才对

@newaccount setup 只有下面的内容，没看懂
#%PAM-1.0
auth sufficient pam_rootok.so
auth include system-auth
account required pam_permit.so
session required pam_permit.so

@InDom 公司的服务器，我不敢呢

@zizon 我试试 tcpdump ， 现在确认在 source profile 之前。

@InDom 昨天提供工单给腾讯云那边检查，他们回复说是病毒导致的，也没有找到什么问题，然后叫我重装系统。目前系统没出现问题，所以还想挣扎一下。

你想挣扎什么？挣扎不用重装系统？如果攻击者有能力篡改 root 权限的文件的话，那对方早就能把操作系统的核心文件全给你替换成带毒文件了。系统你留着做攻击分析是可以，但不第一时间重装系统的话，你们公司的 IT 可以开掉了说实话。

@msg7086 这个是测试的服务器，所以没选择第一时间重装，确实是有侥幸心理。 小公司没有 IT ，开发都有权限登录上去，管得比较松