然后我就想看看是不是最近异常有异地的登录记录

last

查看最近登陆情况
以及检查是不是有新增的用户

cat /etc/passwd

不过都没有收获

然后离谱的来了，当我查询最近的失败登录日志的时候发现密密麻麻从上个月就开始的暴力破解

sudo cat /var/log/auth.log.0 | grep "Failed"

如果顺着这个ip找到了最近的一次的情况,好好好，这个用户密码太简单，被暴力试出来来了

sudo tail -n 5000 /var/log/auth.log