**检查日志 **
审计日志,看登录的异常用户和异常行为 系统日志 如 /var/log/messge /var/log/secure等。
检查谁登陆了
last 查看机器创建以来登陆过的用户 lastlog 列出用户最后登录的时间和登录终端的地址 查看机器所有用户的连接时间 ac -dp
检查异常进程 查询异常进程所对应的执行脚本文件 a.top命令查看异常进程对应的PID b.在虚拟文件系统目录查找该进程的可执行文件 ps -ef|grep pid 或者 ll /proc/(pid)1850/ | grep -i exe
检查异常定时任务
