我用的是CentOS7.4

一、先从linux日志下手排查

1.1、linux日志默认存放位置:/var/log/

1.2、必看日志:/var/log/secure、/var/log/history

/var/log/lastlog 记录系统所有用户最后一次登录时间的日志

/var/log/secure 记录验证和授权方面的信息、只要登录linux都会被记录,甚至添加、修改用户都会记录

1、查看secure日志的最后15行:

2、查看有多少ip在爆破服务的root账号:哈,还真不少

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

3、查看成功登录过的ip有哪些:只有两个,两个都是我自己使用过的电脑连接的服务器,看来没有被黑进来过

grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

4、查看登录成功的日期、用户名、ip:

grep "Accepted" /var/log/secure | awk '{print $1, $2, $3, $9, $11}'

5、查看服务器所有用户最近一次登录信息:

lastlog

二、查看服务器的cpu占用率

1、如果某个程序不是自己的项目程序,并且占用率超过70%,大概率是中了挖矿病毒

ps aux --sort -pcpu

2、动态查看进程使用情况:top