通常hacker只有植入木马那次才需要入侵系统,植好木马你每次重开机都会帮他跑攻击服务.若确定被入侵,从源头重灌有时是必要的.全系统备份可能都带有木马.你目前的状况是无法确认(都是别人告知),既然频率很高,守株查兔定时检查系统是否有不明对外站连线(最好就是被告知DOS的攻击对象)植入木马不一定走ssh,只要任何一个对外有开port接受连入的service有漏洞能让远端执行指令就是入侵的门户,这个只能检查你用的service有没有vulnerability没有更新或修正的例如:
http://nginx.org/en/security_advisories.html我刚看了一下第一个vulnerability,时间很新,程度是严重等级,又是恶名昭彰的buffer over/underflow 来做到入侵者设计的code execution,这是很可能的入侵管道,如果你没修这个新出没多久的漏洞,那就赶快修一下,其它的major一定要修,后面的如果advisory里有提到code execution的也都要修.然后每个有对外服务的service (如ssh)或plug-in(如php等)都要类似处理另外就是最近很红的heartbleed,看看你的版本有没有中标?从上述漏洞入侵的,log一定没东西,log就像大门的摄影机,但小偷是挖密道进来的忘了讲如果你的系统没有随时接收distribution的安全性更新(一般production server不会随便更新,所以很可能没有),更要优先考虑各项service的vulnerabilities