迅速检查并锁定可疑用户（系统安全）

当发现服务器遭受攻击后，首先要切断网络连接，但是在无法马上切断网络连接时，就必须登录系统查看是否有可疑用户，如果有可疑用户登录了系统，那么需要马上将这个用户锁定，然后中断此用户的远程连接。

1、登录系统查看可疑用户

通过root用户登录，然后执行w命令，即可列出所有登录郭系统的用户。

通过此命令的输出可以检查是否有可疑或者不熟悉的用户登录，同时还可以根据用户名、用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。

2、锁定可疑用户

一旦发现可疑用户，就要马上将其锁定，例如，上面执行w命令后发现baolu用户是个可疑用户，首先锁定此用户，执行如下操作

锁定之后，有可能此用户还处于登录状态，于是还要将此用户踢下线。根据上面w命令的输出，即可获得此用户登录进程的PID值，操作如下：

这样就将可疑用户baolu从线上踢下去了，而且此用户以后也无法登录系统了。

3、通过last命令查看用户登录事件

last命令记录着所有用户登录系统的日志，可以用来查找非授权用户的登录事件。last命令的输出结果来源于/vas/log/wtmp文件。