常用操作

查看最近登陆

sudo tail /var/log/auth.log -n 200

如果看到很多登录失败，那可能是正在被暴力破解登录密码。一般校内的服务器不太会被远程破解（因为在内网），如果出现这个情况要注意是不是开了内网穿透服务。

如果已经找到木马的目录，可以用stat FILENAME 来查看创建时间，然后用时间戳来过滤登录信息就可以知道是谁密码泄露了：

sudo tail /var/log/auth.log | grep 12:34

sudo ls -l /proc/PID/  # 查看进程目录
sudo cat /proc/PID/cmdline
ps -o ppid= -p PID  # 查看父进程号

Last updated 1 year ago