今天怀疑系统有点异常，有点小怕，于是，便网上找些资料进行一一排查。
本文只提供，简单的检测，不提供如何修复。

查询当前登录的用户

who

查询用户登录行为

w [用户名]

查询用户登录历史

last [用户名]

是否有可疑登录

# 成功登录的
more /var/log/secure |grep Accepted

# 登录失败的
more /var/log/secure |grep Failed

操作历史

ls -l ~/.bash_history
-rw------- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history

如果你看到，

lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null

恭喜你，中彩票了！！！
如果 历义操作记录被定向到 /dev/null 将查询不到操作历史。

history | more

寻找未知用户账号

grep :x:0: /etc/passwd

查询文件修改时间

ls -l /etc/passwd

iftop 查询网络流量

# 你需要手动编译安装
iftop

htop 查询进程信息

# 你需要手动编译安装
htop

参考来源：

• 如何判断你的Linux系统是否被黑
• 一次Linux系统被攻击的分析过程
• 服务器被黑之后的心路历程
• linux系统被入侵后处理经历