檢查日誌
審計日誌,看登錄的異常用戶和異常行爲
系統日誌 如 /var/log/messge /var/log/secure等。
檢查誰登陸了
last 查看機器創建以來登陸過的用戶
lastlog 列出用戶最後登錄的時間和登錄終端的地址
查看機器所有用戶的連接時間 ac -dp
檢查異常進程
查詢異常進程所對應的執行腳本文件
a.top命令查看異常進程對應的PID
b.在虛擬文件系統目錄查找該進程的可執行文件
ps -ef|grep pid 或者 ll /proc/(pid)1850/ | grep -i exe
檢查異常定時任務