centos服务器被攻击如何找出攻击源和感染文件

查询当前登录的用户
who
查询用户登录行为
w [用户名]
查询用户登录历史
last [用户名]
是否有可疑登录
# 成功登录的
more /var/log/secure |grep Accepted

# 登录失败的
more /var/log/secure |grep Failed
操作历史
ls -l ~/.bash_history
-rw——- 1 jd jd 13829 Oct 10 17:06 /home/jd/.bash_history
如果你看到：
lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null
恭喜你，中招了！
如果历义操作记录被定向到 /dev/null 将查询不到操作历史。
history | more
寻找未知用户账号
grep :x:0: /etc/passwd
查询文件修改时间
ls -l /etc/passwd
iftop 查询网络流量
# 你需要手动编译安装
iftop
htop 查询进程信息
# 你需要手动编译安装
htop

其他查找被黑文件方法：
比如php文件的时间，如果我们可以查找最后一次网站代码更新以后的所有php文件，
方法如下：
假设最后更新是10天前，我们可以查找10天内生成的可以php文件：
find /var/webroot -name “*.php” -mtime -10
命令解读：
/var/webroot为网站根目录
-name “*.php”为查找所有php文件
-time -10为截止到现在10天