查看 /var/log/secure和 /var/log/auth.log 文件,查找是否有异常的登录行为,例如 root 用户的异常登录,特别是来自未知 IP 的登录。 使用 last命令查看最近的用户登录情况。 [root@www ~]# cat /var/log/secure | grep "Accepted" Oct 2 11:53:24 www sshd[5498]: Accepted publickey for root from *.*.220.4 port 62217 ssh2: RSA SHA25…