一、入侵者可能会删除机器的日志信息

可以查看日志信息是否还存在或者是否被清空，相关命令示例：

二、入侵者可能创建一个新的存放用户名及密码文件

可以查看 /etc/passwd 及 /etc/shadow 文件，相关命令示例：

三、入侵者可能修改用户名及密码文件

可以查看 /etc/passwd 及 /etc/shadow 文件内容进行鉴别，相关命令示例：

四、查看机器最近成功登陆的事件和最后一次不成功的登陆事

对应日志 “/var/log/lastlog”，相关命令示例：

五、查看机器当前登录的全部用户

对应日志文件 “/var/run/ut