@hadoop 第三次我又重装了，这次直接叫机房把 IPMI 禁了。目前来说，还没出问题，希望是解决了。
黑的原因和过程，我看了下 bash 日志和 auth 日志，猜测大致是这样的：
1. hacker 获取了 IPMI 密码，直接 console 操作。后台日志提示是 /dev/tty1 的登陆，意味着不是 ssh 被黑的；
2. hacker 直接传入 Ctrl+Alt+Del ，强制重启。系统启动时间是 10:42 ，重新进系统的初始化时间是 10:45 。但是 naike 的账号却是 10:44 建立的。这意味着， hacker 可能进入了单用户模式，直接手动建了账号 naike ，并置 uid=0 ；
3. hacker 用 naike 账号登陆，并 su 提权，执行了操作，用 wget 下载了一个木马文件，并执行。

这个木马实际的作用，我看了下，应该是给一个境外 porn 网站做国内分流的，有点类似 cdn 那种。
感觉这个 hacker 也不是那种特别牛逼的，最大的线索应该就是登陆是 /dev/tty1 这个上面，这只能说明两种大的可能，第一就是 IPMI 密码泄露了，第二就是机房有内鬼。机房有内鬼的可能性应该比较小。所以最大可能就是 IPMI 密码泄露。

IPMI 被泄露这个，说实话我觉得很蹊跷。你可以看看最开始机房给你的带 IPMI 密码的邮件，是不是抄送给了除了你以外的其他人（比如客服经理啥的），所以，你懂的。。。。。。。