登陆系统查询可以用户

w命令可以显示在线用户，passwd -l xxx可以锁定xxx用户无法登陆，如果此时可以用户在线，使用kill命令踢下线

查看可疑进程

ps -ef命令锁定pid，或者pidof根据进程名查找， 进入内存目录查看相应进程的完整信息

[root@VM_250_17_centos proc]# pidof nginx
32757 29527 29526 29525 29524 29523 29522 29521 29520
[root@VM_250_17_centos proc]# pwd
/proc
[root@VM_250_17_centos proc]# ll -a 29525/exe
lrwxrwxrwx 1 nginx nginx 0 Feb 24 10:52 29525/exe -> /usr/local/nginx/sbin/nginx

rootkit后门检查工具RKHunter

ootkit是Linux平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐藏行迹，从而让攻击者保住权限，以使它在任何时候都可以使用root 权限登录到系统。

安装使用

./installer.sh --install #安装，默认目录 /usr/local/bin/rkhunter

rkhunter -c #使用
#检测时正常会用绿色显示，warning会用红色显示，需要引起注意

iftop监测网络

iftop -P显示进程名称

nmap系统侦测

用于扫描开放端口和侦测系统版本
nmap 主机ip扫描端口
nmap -sV侦测系统版本