刚刚使用ssh连接阿里云服务器，习惯性的使用“上键”使用更新命令，结果意外发现了好多条不明命令。

其中大部分是 cd 和 ls ，以及一些 cat ，还有一些 cd ../../../, 看起来像是一个人操作了 ssh，
找了找关于文件名中带 admin 和 http 的相关信息，还有 php.ini 。

还有有两条比较有代表性

MAKRER=SHOW_LOCALE;printf $MAKRER""; locale; MAKRER=SHOW_LOCALE;printf $MAKRER"";
CHECK_TYPE=SHELL; echo "INFO=${CHECK_TYPE} PID=$$ PPID=$PPID TTY=$(tty) SHELL=$0 HOME=$HOME PWD=$PWD| CHECK_SHELL_END"

网上搜搜了说是入侵了，看一下阿里云的后台内信，果然有一条安全通知，但是点击链接进去是云盾推广链接。（会不会是阿里云内部人为了推广云盾）

请问一下大佬们，这是什么目的，在什么情况下会暴露ssh密码，或者是说他怎么上去的。现在除了改ssh密码还有什么需要注意的？
使用的是xshell 7 公测版，是从官网下载的、

红米Note4超高配版(银色)

@水木易安，那是你在阿里云控制台重启ECS时留下的命令记录。你可以试试把history里的这个记录删掉，然后再在控制台重启试试（不是强制重启）。

@老虎会游泳，应该不是，更像是某个人在操作。

红米Note4超高配版(银色)

给阿里云发工单
https://cway.top

如果不是你本人所为，那肯定是被黑了，可以看看黑客翻找了哪些文件，改动了哪些文件的内容，查下进程有没有可以的清理一下，然后修改密码改成密钥登录。
啦啦啦啦

@卷心菜，多等等,马上结尾了。
红米Note4超高配版(银色)

@上善若水，第一次登录怎么使用秘钥啊，服务器新手求教。
红米Note4超高配版(银色)

@简单，好的

红米Note4超高配版(银色)

@上善若水，哦哦,是客户的机器,直接给我的账号密码.这么一说,我突然想起了会不会是客户在翻看东西
红米Note4超高配版(银色)

@水木易安，如果你去谷歌搜索“CHECK_SHELL_END”，你会发现好几个人的history都有你这行奇怪的命令，而且他们的文章内容都和阿里云有关。

所以至少这行命令应该是和阿里云有关。

案例：
https://developer.aliyun.com/ask/274553
https://developer.aliyun.com/article/764838
http://neter8.com/web/69.html
https://blog.csdn.net/spencer_tseng/article/details/104981856
http://www.biaook.com/forum.php?mod=viewthread&tid=102867&mobile=2
https://www.cloudduo.cn/expansion_data_plate.html

虽然也有真的被黑的，比如这个。但是他也恰好在阿里云，所以不能排除这行命令与他被黑无关，只是因为他在阿里云所以才有。
https://blog.csdn.net/hbqandjava/article/details/105841903

当然也有可能是上述所有案例都被黑了

@老虎会游泳，这个ecs是客户提供的,密码极其复杂:包含了大小写特殊符号数字等.
你最后一个案例提到的密码太过于简单,暴力破解可能性不太大.

那么现在只有三种可能性:
1.客户自己上去随便看了看 并且输入了他自己也不太清楚的代码. 可能是网上搜索的.
2.阿里云内部为了推广云盾服务(因为只有阿里云的机子出现这个,然后都有安全提醒内信)
3.真的被某人扫描截获了,被黑.(但是可能性比较小,似乎没做什么破坏)

红米Note4超高配版(银色)