Linux系统被黑客攻击后，分析攻击痕迹是确定攻击者身份、攻击方式以及防止未来攻击的重要步骤。以下是Linux系统被黑客攻击后，分析攻击痕迹的方法：

检查活动登录使用 w命令查看当前登录的用户及其登录时间。使用 last命令查看以前的登录信息，包括用户名、IP地址和登录时间。检查以前的命令查看 ~/.bash_history文件，以确定是否运行了可疑的命令，如 install, curl, 或 wget。如果该文件不存在或被删除，表明黑客可能清理过痕迹。检查最密集的进程使用 top命令查看当前系统上运行的所有进程，特别关注CPU和内存使用率高的进程。对于不认识的进程，使用 lsof -p <PID>命令查看进程打开的文件，以确定其目的。检查所有系统进程使用 ps auxf命令列出所有正在运行的进程，包括隐藏进程。仔细检查“命令”列，寻找异常。文件分析检查敏感目录（如 /tmp, /var/log）下的文件，查找新增、修改或删除的文件。使用 stat命令查看文件的最后修改时间，以确定是否有异常。进程分析使用 netstat -antlp命令分析网络连接，查找可疑的端口和IP地址。使用 ps aux | grep <process>命令查找特定进程。系统信息查看 history文件，分析用户执行的历史命令。检查 /etc/passwd和 /etc/shadow文件，查看是否有异常用户账户。日志分析检查 /var/log/secure、/var/log/messages、/var/log/wtmp等日志文件，查找可疑的登录尝试或错误。使用特定工具使用 chkrootkit和 rkhunter等工具来检测系统中可能存在的rootkit。恢复被删除的文件使用 undelete、testdisk等工具尝试恢复被删除的文件。

通过上述方法，可以有效地分析Linux系统的攻击痕迹，并采取相应的防御措施来保护系统安全。同时，定期进行安全审计和监控，可以及时发现并应对未来的安全威胁。