当服务器被入侵时，需要检查以下几个方面：

1、系统日志

检查系统日志文件，如 /var/log/auth.log、/var/log/syslog 等，查找异常登录、未知IP地址、非法操作等记录。

使用命令如 grep、awk 等进行关键词搜索，快速定位异常信息。

2、进程状态

使用 ps 命令查看当前运行的进程，查找异常进程。

使用 top 或 htop 命令查看系统资源占用情况，发现异常进程。

3、网络连接

使用 netstat 或 ss 命令查看当前网络连接状态，查找异常端口和连接。

使用 tcpdump 命令抓取网络数据包，分析是否存在恶意通信。

4、用户账户

使用 cat /etc/passwd 查看用户账户列表，查找异常账户。

使用 sudo l 查看管理员权限分配情况，查找非授权用户。

5、文件系统

使用 ls al / 查看文件系统目录结构，查找异常文件和目录。

使用 find 命令在文件系统中搜索特定文件，如恶意脚本、加密工具等。

6、安全设置

检查防火墙设置，如 iptables、ufw 等，查找是否被篡改。

检查 SSH 配置，如公钥认证、密码认证等，查找是否被修改。

7、服务状态

使用 systemctl listunits type=service 查看当前运行的服务，查找异常服务。

使用 systemctl status <service_name> 查看服务状态，查找异常服务。

8、软件包管理

使用 dpkg l | grep <package_name> 查看已安装的软件包，查找异常软件包。

使用 apt list installed | grep <package_name>（Debian/Ubuntu）或 rpm qa | grep <package_name>（RHEL/CentOS）查看已安装的软件包，查找异常软件包。

9、系统监控

使用系统监控工具，如 Zabbix、Nagios 等，查看服务器性能和资源占用情况，发现异常波动。

使用入侵检测系统（IDS）和入侵防御系统（IPS）进行实时监控，发现并阻止恶意行为。