1、我们首先查看了系统的登录日志,查看是否有可疑登录信息,执行如下命令:
more /var/log/secure 如下图:
2、查看一下系统密码文件/etc/shadow
这样可以查看 有没有可疑信息 更改密码之类的、、、、 
3、还可以查看其它日志信息、、、、、、、、、、、、、
4、ps命令 查看进程
ps 的参数非常多, 在此仅列出几个常用的参数并大略介绍含义
-A 列出所有的行程
-w 显示加宽可以显示较多的资讯
-au 显示较详细的资讯
-aux 显示所有包含其他使用者的行程
aux 如下:
5、top命令
性能分析工具,能够实时显示系统中各个进程的资源占用情况。
可以用来查看可疑进程 木马程序等等...........
修复--查看apach 日志
参考 一次Linux系统被攻击的分析过程_靠谱运维的技术博客_51CTO博客
