这个问题适合发到知乎。
我简单提下,其实检查是否被黑,实际上就是找痕迹,找异常。可以从几个方面考虑。
1、检查异常管理痕迹,实际上也就是日志了。上面提到的bash_history、mysql_history,who命令,w命令,last,lastlog命令,以及可疑时间的web日志、syslog日志、auth日志等等。
2、检查入侵者可能留下的后门或者改动过的文件(包括系统配置文件、web文件、管理程序等)。网上有不少内容特征检测的脚本,可以去找找。chkrootkit之类也可以用用(机器挂了不要找我),rpm -Vf /sbin/sshd 也可以做验证。如果是webshell的查找,也可以试试我的脚本,
https://github.com/wofeiwo/webshell-find-tools3、检查网络,开启的端口和流量。tcpdump监控一会,看看有没有异常的内容夹杂其中。
以上三步基本ok了。对于绝大部分的小hacker而言,足以检查出很多痕迹了。
但是也别疑心病太重,很多人就是自己被自己吓死的。