1.***者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例:

ll -h /var/log/ du -sh /var/log/

2.***者可能创建一个新的存放用户名及密码文件,可以查看/etc/passwd及/etc/shadow文件 进行比较,相关命令示例:

ll /etc/pass ll /etc/sha more /etc/passwd more /etc/shadow

3.查看机器最近成功登陆的事件和最后一次不成功的登陆事件,对应日志“/var/log/lastlog”,相关命令示例:

lastlog

4.查看机器当前登录的全部用户,对应日志文件“/var/run/utmp”,相关命令示例:

who

5.查看机器创建以来登陆过的用户,对应日志文件“/var/log/wtmp”,相关命令示例:

last
6.查看机器所有用户的连接时间(小时),对应日志文件“/var/log/wtmp”,相关命令示例:

ac -dp
7.如果发现机器产生了异常流量,可以使用命令“tcpdump”抓取网络包查看流量情况:
https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
8.可以查看/var/log/secure日志文件,尝试发现***者的信息,相关命令示例:
cat /var/log/secure | grep -i "accepted password"
9.查询异常进程所对应的执行脚本文件:
a.top命令查看异常进程对应的PID
b.在虚拟文件系统目录查找该进程的可执行文件