# 常用操作

## 查看最近登陆

<pre class="language-sh"><code class="lang-sh"><strong>sudo tail /var/log/auth.log -n 200
</strong></code></pre>

如果看到很多登录失败，那可能是正在被暴力破解登录密码。一般校内的服务器不太会被远程破解（因为在内网），如果出现这个情况要注意是不是开了内网穿透服务。

如果已经找到木马的目录，可以用`stat FILENAME` 来查看创建时间，然后用时间戳来过滤登录信息就可以知道是谁密码泄露了：

```sh
sudo tail /var/log/auth.log | grep 12:34
```

## 查看进程信息

```sh
sudo ls -l /proc/PID/  # 查看进程目录
sudo cat /proc/PID/cmdline
ps -o ppid= -p PID  # 查看父进程号
```