看起来你的服务器大概率是遭遇了恶意入侵，出现未知用户"Cheeki"和全账号密码失效的情况，这绝对不是系统正常的行为，咱们一步步来排查和处理：

一、先排查入侵痕迹（建议在恢复模式下操作） #

• 进入恢复模式后，先把根分区挂载为可读写状态：

  mount -o rw,remount /
  

• 确认未知用户"Cheeki"的详细信息，看看它是否获取了root权限：

  cat /etc/passwd | grep Cheeki
  

  如果输出里的UID是0，说明这个账号已经拥有root权限，入侵程度很深
• 查看近期登录记录，找陌生IP或异常登录行为：

  last
  

• 检查系统日志里的关键痕迹，比如用户创建、登录失败的记录：

  grep -i "Cheeki" /var/log/auth.log
  grep -i "useradd" /var/log/auth.log
  

二、紧急处理步骤 #

• 立刻断开服务器网络，防止入侵者继续操作或窃取数据
• 删除未知用户"Cheeki"，连带它的家目录一起清理：

  userdel -r Cheeki
  

• 重置所有合法账号的密码，包括你的主账号和Minecraft专用账号：

  passwd your_main_username
  passwd minecraft_special_user
  

• 检查可疑文件和后门：
  • 查看/tmp、/var/tmp目录下的陌生文件，直接删除可疑项
  • 检查定时任务配置（/etc/crontab、/etc/cron.d/目录），删除异常的定时任务

三、后续预防措施（避免再次被入侵） #

• 关闭SSH密码登录，改用密钥登录：
  编辑/etc/ssh/sshd_config，修改以下配置：

  PasswordAuthentication no
  PubkeyAuthentication yes
  

  然后重启SSH服务：systemctl restart sshd
• 修改SSH默认端口（比如改为2222），减少被批量扫描的概率：
  在sshd_config里添加Port 2222，记得在防火墙开放对应端口
• 安装fail2ban工具，自动封禁暴力破解的IP：

  apt install fail2ban
  

• 定期更新系统和软件包，修复安全漏洞：

  apt update && apt upgrade -y
  

• Minecraft服务器也要做好权限管控，比如限制控制台权限、不要用弱密码，避免被利用作为入侵入口

备注：内容来源于stack exchange，提问作者BlackFlage