linux服务查看攻击者的IP的命令是什么

这个涉及到入侵检测类

如果木马是潜伏期，比较复杂，一时半会给你讲不清楚

如果木马是活动期，正在大流量发包，

方法如下

1、iptraf -f，然后 选 IP traffic monitor  

指定你的网卡

会看到很多对应关系，这样就可以找到发包最大的IP对应关系出来

2、netstat -tuanp |grep 大流量ip ，会得到对应进程

3、iptables限制其出网

4、kill并删除对应进程，然后查看/etc/rcd 有没有被注东西，包括chkconfig等，所有系统自起的全看看，，详细的可以查询一下入侵检测部分时间有限不一 一说了