如何检查linux server是否遭入侵

1.使用“w”命令查看当前已建立的SSH连接

若发现有异常登录，可通过“fuser -k /dev/pts/0”断开当前已建立的连接。

2.使用“last”查看以前登录过的用户,可以看到登录用户的IP、登录时间、登录时长。

登录历史包含在〜/ .bash_history的文本文件中，因此可以轻松移除。 通常，攻击者会简单地删除这个文件来试图掩盖他们的踪迹。 因此，如果你运行命令后，只能看到你当前的登录，这是不好个不好的迹象。 如果没有登录记录是非常非常可疑，要继续寻找被破坏的迹象。

3.查看历史命令

     在没被删除历史记录的情况下，运行历史命令可以看到用户的所有操作，注意wget或curl命令下载垃圾邮件机器人或加密旷工之类的回购软件。

     命令历史记录包含在〜/ .bash_history文件中，所以一些攻击者会删除这个文件来覆盖他们所做的事情。 就像登录历史记录一样，如果你运行历史记录并没有看到任何内容，那么历史文件已被删除。 再次，这是一个不好的迹象，你应该仔细检查服务器。

4.用top命令检查CPU占用情况

这也会显示人们在未登录的情况下利用您的服务器。例如，这可能是某人使用不受保护的表单邮件脚本来转发垃圾邮件。 如果你不认识某个进程，谷歌它的名字，或者调查一下它正在做的事情用“losf” 或者 “strace”,                                

拷贝top命令下的PID，运行下面的命令：

这将显示进程正在进行的所有系统调用。 有很多的信息，但通过它看将会给你一个好的思路是去探索怎么回事。

这将列出该进程已打开的文件。 通过向您显示它正在访问哪些文件，可以让您知道它在做什么。

5.检查所有进程，命令“ps auxf”，如果进程不认识的话进程运行该命令来熟悉它

6.查看哪些进程正在监听网络连接

    通常，攻击者会安装一些程序不去做任务事情，只是为了监听网络端口，这不占用CPU和网络带宽，因此常常被忽略，可以使用“lsof” 和 “netstat”命令查看网络运行的网络进程。