查看最近登陆

如果看到很多登录失败，那可能是正在被暴力破解登录密码。一般校内的服务器不太会被远程破解（因为在内网），如果出现这个情况要注意是不是开了内网穿透服务。

如果已经找到木马的目录，可以用stat FILENAME 来查看创建时间，然后用时间戳来过滤登录信息就可以知道是谁密码泄露了：

查看进程信息

Last updated 9 months ago

如果看到很多登录失败，那可能是正在被暴力破解登录密码。一般校内的服务器不太会被远程破解（因为在内网），如果出现这个情况要注意是不是开了内网穿透服务。

如果已经找到木马的目录，可以用stat FILENAME 来查看创建时间，然后用时间戳来过滤登录信息就可以知道是谁密码泄露了：

sudo tail /var/log/auth.log -n 200

sudo tail /var/log/auth.log | grep 12:34

sudo ls -l /proc/PID/  # 查看进程目录
sudo cat /proc/PID/cmdline
ps -o ppid= -p PID  # 查看父进程号