通常hacker只有植入木馬那次才需要入侵系統,植好木馬你每次重開機都會幫他跑攻擊服務.若確定被入侵,從源頭重灌有時是必要的.全系統備份可能都帶有木馬.你目前的狀況是無法確認(都是別人告知),既然頻率很高,守株查兔定時檢查系統是否有不明對外站連線(最好就是被告知DOS的攻擊對象)植入木馬不一定走ssh,只要任何一個對外有開port接受連入的service有漏洞能讓遠端執行指令就是入侵的門戶,這個只能檢查你用的service有沒有vulnerability沒有更新或修正的例如:
http://nginx.org/en/security_advisories.html我剛看了一下第一個vulnerability,時間很新,程度是嚴重等級,又是惡名昭彰的buffer over/underflow 來做到入侵者設計的code execution,這是很可能的入侵管道,如果你沒修這個新出沒多久的漏洞,那就趕快修一下,其它的major一定要修,後面的如果advisory裏有提到code execution的也都要修.然後每個有對外服務的service (如ssh)或plug-in(如php等)都要類似處理另外就是最近很紅的heartbleed,看看你的版本有沒有中標?從上述漏洞入侵的,log一定沒東西,log就像大門的攝影機,但小偷是挖密道進來的忘了講如果你的系統沒有隨時接收distribution的安全性更新(一般production server不會隨便更新,所以很可能沒有),更要優先考慮各項service的vulnerabilities