1.top 是否有异常应用占用cpu
2.less /var/log/secure 查看是否有暴力破解
3.who 查看谁在线
4.last | more 查看登录记录
5.netstat -nl 查看异常端口
6.lsof -i :48988 查看异常端口的进程
7.sudo iftop -np 查看流量异常
8.常规检查
# 查看有无异常进程
$ ps aux
…
# 查看系统资源占用有无异常
$ top
…
# 有没有新增异常用户
$ cat /etc/passwd
…
#查看了root用户的命令历史记录,当然这个对稍有经验家伙是没有意义的,拿到了root权限后可以清理任何痕迹
# history
…
9.# 踢掉在线终端
$ pkill -kill -t pts/4
10.tail -f /var/log/secure