In realtà utilizzerei il comando "last".
$ last > ~/Desktop/last_users.txt
produrrà i risultati in un documento sul desktop che puoi aprire e dare un'occhiata. Davvero, dovresti vedere il tuo utente, riavviare (uno pseudo-utente che viene attivato quando si riavvia il computer) e praticamente nient'altro. I. personalmente ho un "_mbsetupuser" che ha a che fare con l'aggiornamento del mio sistema operativo, quindi potresti averlo anche tu.
Se vedi nomi utente che non riconosci, è una bandiera rossa. Se vedi un tuo utente su una console diversa da "console", potrebbe essere un problema. Non sono molto bravo con netstat né con lsof, ma ecco un primer di lsof. La ragione per imparare lsof (sia in combinazione con netstat che no) è che Linux tratta la maggior parte delle cose come file. lsof (abbreviazione di "list open files") è un'utility che ti aiuta a scoprire quali file sono aperti. Se qualcuno sta guardando il tuo sistema, sta aprendo "file" per farlo, e tale utility ti mostrerà questo, a meno che non ci sia un rootkit sul posto e / o l'utilità lsof stessa sia stata hackerata / modificata per non mostrare la loro presenza, che è improbabile.
Guarda un primer che mi piace molto qui: link