检查日志

审计日志，看登录的异常用户和异常行为

系统日志 如 /var/log/messge /var/log/secure等。

检查谁登陆了

last 查看机器创建以来登陆过的用户

lastlog 列出用户最后登录的时间和登录终端的地址查看机器所有用户的连接时间 ac -dp

检查异常进程

查询异常进程所对应的执行脚本文件a.top命令查看异常进程对应的PIDb.在虚拟文件系统目录查找该进程的可执行文件ps -ef|grep pid 或者 ll /proc/(pid)1850/ | grep -i exe

检查异常定时任务