這里簡單介紹一下吧，主要從5個方面來判斷服務器是否被入侵，感興趣的朋友可以嘗試一下：

01

查看當前登錄用戶

這種方式最簡單也最基本，查看當前登錄服務器的用戶，如果有異常用戶或IP地址正在登錄，則說明服務器很可能被入侵，命令的話，使用w，who，users等都可以：

02

查看歷史登錄記錄

服務器會記錄曾經登錄過的用戶和IP，以及登錄時間和使用時長，如果有異常用戶或IP地址曾經登錄過，就要注意了，服務器很可能被入侵，當然，對方為了掩蓋登錄，會清空/var/log/wtmp日志文件，要是你運行了last命令，只有你一個人登錄，而你又從來沒清空過記錄，說明被入侵了：

03

查看特別消耗CPU進程

一般情況下，服務器被入侵后，對方通常會執行一些非常消耗CPU任務或程序，這時你就可以運行top命令，查看進程使用CPU的情況，如果有異常進程非常消耗CPU，而你又從來沒有執行過這個任務，說明服務器很可能被入侵了：

04

檢查所有系統進程

消耗CPU不嚴重或者未經授權的進程，一般不會在top命令中顯示出來，這時你就需要運行“ps auxf”命令檢查所有系統進程，如果有異常進程在后臺悄悄運行，而你又從來沒有執行過，這時就要注意了，服務器很可能被入侵了：

05

查看端口進程網絡連接

通常攻擊者會安裝一個后門程序（進程）專門用于監聽網絡端口收取指令，該進程在等待期間不會消耗CPU和帶寬，top命令也難以發現，這時你就可以運行“netstat -plunt”命令，查看當前系統端口、進程的網絡連接情況，如果有異常端口開放，就需要注意了，服務器很可能被入侵：

目前，就分享這5個方面來判斷服務器是否被入侵，當然，服務器如果已經被入侵，你就需要趕在對方發現你之前奪回服務器的控制權，然后修改密碼、設定權限、限定IP登錄等，網上也有相關教程和資料，介紹的非常詳細，感興趣的話，可以搜一下，希望以上分享的內容能對你有所幫助吧，也歡迎大家評論、留言進行補充。