做好安全防护的服务器还是需要定期去检测的，下面是一些简单判定服务器是否被入侵的手段：

1、查看登录日志/var/log/secure，是否有一些不正常的登录信息；如果是空的，查看下文件的具体信息ll /var/log/secure，是否被定位到一些空文件-> /dev/null上了。

2、history命令可以查看你最近用的一些命令，找找看，里面有没有相关可疑的命令；当然，很可能，整个history命令都是空的（ll .bash_history会发现，被链接到了/dev/null），或者只记录你刚运行的history（被清空过了），这些情况都很可疑，你必须断开网络，备份你的数据了…

3、ps命令不一定可靠，当rootkit存在，而你用ps命令却发现不了的时候，说明你的ps文件已经被替换过了！记得在装好系统的时候，运行下md5sum /bin/ps，看看你的ps文件md5值，以及du -sh /bin/ps，看看ps文件大小，用以确认ps是否被替换过。

4、grep :x:0: /etc/passwd看看你的系统中有多少个超级用户，正常情况下，有且仅有一个：root:x:0:0:root:/root:/bin/bash

总之，上述情况中出现任意一种，你就必须断网仔细检查自己的系统，并备份好重要数据。找不出rootkit，只好重装了…