排查Linux机器是否已经被入侵

查看日志信息是否还存在或者是否被清空

ll -h /var/log/*
du -sh /var/log/*

查看/etc/passwd及/etc/shadow文件

ll /etc/pass*
ll /etc/sha*

查看机器最近成功登陆的事件和最后一次不成功的登陆事件

lastlog

查看机器当前登录的全部用户,对应日志文件“/var/run/utmp”

who

查看机器创建以来登陆过的用户,对应日志文件“/var/log/wtmp”

last

查看机器所有用户的连接时间(小时),对应日志文件“/var/log/wtmp”

ac -dp

查看/var/log/secure日志文件,尝试发现入侵者的信息

cat /var/log/secure | grep -i "accepted password"

转自全栈开发者社区