Un excellent article sur les commandes à connaître pour détecter une intrusion sur un serveur Linux.

Je copie ça rapidement ci-dessous.

# Voir si quelqu'un est connecté à la machine
w
who

# Traces des dernières connexions
last
lastb

# Historique des dernières commandes
history
su user1
history
cat /home/user/.bash_history

# Utilisateurs existants
less /etc/passwd
cat /etc/passwd
cat /etc/passwd | grep /bin/bash

# Processus
ps
ps aux
top
htop

# Connexions ouvertes par processus
lsof -i
lsof -i -p <pid-proc>

# Fichiers ouverts par processus
lsof -l
lsof -p <pid-proc>

# Ports/routes exposées
## liste les ports TCP/UDP exposés avec les services
netstat -lntup
ss -lntup
## liste les routes
netstat -r
## affiche les stats des cartes
netstat -s
ss -s

# Cartes réseaux
ip address
ip a

# Routes
ip route

# Crontab
crontab -l
crontab -u user -l

# Fichiers modifiés récemment
## Les derniers 5 jours
find / -mtime -5 -ctime -5
## La dernière minute
find / -mmin -1

# Les logs
cat /var/log/syslog
cat /var/log/syslog | less
tail -f -n 5 /var/log/syslog
cat /var/log/syslog | grep fail
tail -f /var/log/syslog

# Les clés SSH autorisées
cat /root/.ssh/authorized_keys
cat /home/debian/.ssh/authorized_keys
cat /home/user1/.ssh/authorized_keys

# Le contenu de /tmp
ls /tmp
ls -la /tmp
ls -la /tmp | more
less /tmp
ls -la /tmp | grep xxx