关注我:
一、查看特殊账号
awk -F: '{if($3==0) print $1}' /etc/passwd 
s=$( sudo cat /etc/shadow | grep '^[^:]*:[^\*!]' | awk -F: '{print $1}');for i in $s;do cat /etc/passwd | grep -v "/bin/false\|/nologin"| grep $i;done | sort | uniq |awk -F: '{print $1}'
二、网络连接状态
netstat -ano |grep 22-a:所有连接 / 监听端口-n:数字 IP + 端口,不解析域名-o:显示进程 PID

正常状况下,使用ssh登录,不会有这么多会话:

三、日志篇
/var/log/secure/var/log/auth.logtail -f /var/log/securecat /var/log/secure|grep "Accept"
正常退出的日志:
cat /var/log/secure|grep "session closed"
cat /var/log/secure|grep "failure"
如短时间内大量出现上述日志,可能是被暴力破解了。