排查的話，可以從以下幾個方面入手：

1、日志

查看/var/log下的日志，如果發現有大量SSH登錄失敗日志，并存在root用戶多次登錄失敗后成功登錄的記錄，這就符合暴力破解特征。

2、系統分析

對系統關鍵配置、賬號、歷史記錄等進行排查，確認對系統的影響情況

發現/root/.bash_history內歷史記錄已經被清除，其他無異常。

3、進程分析

對當前活動進程、網絡連接、啟動項、計劃任務等進行排查

4、文件系統

查看系統關鍵的文件是否被修改等

5、后門排查

使用RKHunter掃描系統是否存在后門漏洞

加固建議

1) 禁用不必要啟動的服務與定時任務

2) 修改所有系統用戶密碼，并滿足密碼復雜度要求：8位以上，包含大小寫字母+數字+特殊符號組合；