我如何知道我的 Linux 伺服器是否已被黑客入侵？

Linux 伺服器被黑客入侵的跡像是什麼？是否有任何工具可以按計劃生成和通過電子郵件發送審計報告？

1. 在某處保留關鍵系統文件（例如 ls、ps、netstat、md5sum）的**原始副本，其中包含它們的 md5sum，並定期將它們與實時版本進行比較。**Rootkit 總是會修改這些文件。如果您懷疑原件已被洩露，請使用這些副本。
2. aide或tripwire會告訴您任何已修改的文件——假設他們的數據庫沒有被篡改。
3. 配置 syslog 以將您的日誌文件發送到遠端日誌伺服器，在那裡它們不能被入侵者篡改。觀察這些遠端日誌文件是否有可疑活動
4. 定期閱讀您的日誌- 使用logwatch或logcheck來綜合關鍵資訊。
5. 了解您的伺服器。了解哪些活動和日誌是正常的。

引用自：https://serverfault.com/questions/2783