出现这个Last login: Sun Sep 1 00:11:05 2013 from li602-184.members.linode.com
架的是一个普通的wordpressblog.
如果是的话,需要如何防止? 其实我更关心的是他如何做到的.
你有没有在 VPN 下 SSH 过你的 VPS ？

翻翻bash的history，说不定是个菜鸟

我明白了 早上我开了地下铁的VPN ssh到VPS下了..谢谢

来个专(yu)业(le)的 http://www.after1990s.info/blog/linux%E4%B8%BB%E6%9C%BA%E5%AE%89%E5%85%A8%E6%A3%80%E6%9F%A5/

这个问题适合发到知乎。
我简单提下，其实检查是否被黑，实际上就是找痕迹，找异常。可以从几个方面考虑。
1、检查异常管理痕迹，实际上也就是日志了。上面提到的bash_history、mysql_history，who命令，w命令，last，lastlog命令，以及可疑时间的web日志、syslog日志、auth日志等等。
2、检查入侵者可能留下的后门或者改动过的文件（包括系统配置文件、web文件、管理程序等）。网上有不少内容特征检测的脚本，可以去找找。chkrootkit之类也可以用用（机器挂了不要找我），rpm -Vf /sbin/sshd 也可以做验证。如果是webshell的查找，也可以试试我的脚本，https://github.com/wofeiwo/webshell-find-tools
3、检查网络，开启的端口和流量。tcpdump监控一会，看看有没有异常的内容夹杂其中。

以上三步基本ok了。对于绝大部分的小hacker而言，足以检查出很多痕迹了。
但是也别疑心病太重，很多人就是自己被自己吓死的。