SSH普通用户的命令权限是是no login，No login就是不让你登录，不可登录并且拒绝用户登录。那大家排查的时候就可以忽略这些就是no login的和bin filled。这里还有一个叫bash，这也是刚才我添加的账户，这与之前的root用户一样，这也是一个 shell的解释器，那看一下篡改。SSH登录有两种方式，第一种是账户和密码，第二种就是密钥。方便他们远程管理，并且有一些自动执行的任务计划，大部分都是通过Mile来实现免密的，就是说这就免密码，通过key的方式，公钥和私钥。

那你看我这文件里有一个公钥，比如现在攻击者又插入了一个公钥，插入了他自己的，我这里只是为了方便复制一个，那插入之后是不是他就也免密登录这台服务器了。所以大家在排查的时候要重点关注这个文件，它在每一个用户底下都有一个隐藏文件，叫/root/.ssh/。这个隐藏文件里就会有你的一些信息看，这是登录的信息，所有登录过你机器的信息，就说在你密钥交换的时候，这个它的公钥里边会有host，再看一下全部。

我这里没有建立这个文件，因为我没有通过它来登录我用的账户和密码，那看一下这台服务器，这里就有这个文件，只要把这个文件放到点.SSH文件目录下。如果 ssh不特殊配置，默认的配置它就支持密钥管理的。所以说你只要early在这里创建了这个文件，把你的公钥写进去，那你就可以通过自己的私钥去登录它，登录这台服务器，这样的话你也看不到它更改你的密码，你也看不到新用户的创建，只是在这文件里多了一条数据而已。

第三种重装覆盖，那重装覆盖是怎么咱们把SSH重装一遍，装入咱们带后门的session，那这个时候是不是用户无感，并且咱们可以在SSH的源码里做一些文章，比如植入一个账户，就不会放到系统里，直接放到这个软件里，因为咱们控制Linux远程的就是通过SSh opens这个软件，看一下时间，那这里可以看到一个2021年和一个2015年的其实这个2015年是我修改的，那说明这个方法不可靠，我可以修改它的时间。

那第二种，第二种是看版本，如果攻击者精心构造一下自己软件的版本，把它写成这个样子，其实你也是分辨不出来的。但就看攻击者的水平了。因为一旦你没有在系统上建立关键文件的希或者做安全防护，比如安装一些主机安全软件，那就有可能造成就是说我 SSH被篡改了，清理的只要干净，你是分辨不出来的。