Verificar se um servidor Linux foi comprometido é crucial para manter a segurança. Aqui estão alguns sinais que podem indicar uma possível violação:

1. Verificar Início de Sessão Atual:
   • Use o comando w para ver quem está atualmente conectado ao servidor. Isso mostrará detalhes de login, incluindo usuário, endereço IP e hora.
     
2. Verificar o Último Login:
   • Utilize o comando last para ver os detalhes de login anteriores, incluindo endereços IP e horários.
     
3. Histórico de Comandos:
   • O histórico de comandos executados no terminal é armazenado. Verifique com o comando history para ver a lista de comandos usados pelos usuários.
     
4. Monitorar Processos do CPU:
   • Hackers frequentemente executam processos para implantar backdoors. Use o comando top para verificar os processos que consomem mais recursos do CPU.
     
   • O comando strace pode rastrear chamadas do sistema feitas por processos.
     
5. Verificar Processos do Sistema:
   • Use ps auxf para obter informações sobre os processos em execução. Se encontrar algo suspeito, use kill -9 <PID> para encerrar o processo.
6. Monitorar Tráfego de Rede:
   • Use iftop para verificar o tráfego de rede, identificando origens e destinos.

Lembre-se de que esses sinais não são conclusivos, mas podem ajudar a detectar atividades incomuns. Caso suspeite de uma violação, consulte um especialista em segurança