关于Linux应急响应，以下说法正确的是

ssh登录日志在var/log下，我是憨憨😮

Linux的ssh登录日志会存储于/var/log/secure 中,/var/log/messages 存放的是系统的日志信息

让我们根据已知的知识来验证每个选项的正确性：

A. 通过`ps -aux`或`ps -ef` 查看进程文件路径、pid号，一般能比较清晰的看出bash反弹shell。这是正确的。使用这些命令，我们可以看到正在运行的进程及其相关信息，这有助于发现任何不寻常或恶意的进程，如反弹shell。

B. 在Linux应急过程中查看`/etc/passwd`中的用户，若发现异常的UID和GID为0的用户，则可以判断该服务器可能遭受到提权攻击。这也是正确的。在`/etc/passwd`中，UID 0和GID 0通常属于root用户。如果存在其他非root用户但其UID或GID为0，那么这是一个异常情况，可能意味着有恶意活动。

C. Linux的ssh登录日志会存储于`/var/log/messages`中，若日志中出现连续大量的登录失败错误信息，则可能意味着攻击者在尝试破解ssh登录口令。这是不完全正确的。在许多Linux发行版中，SSH的日志通常存储在`/var/log/auth.log`或`/var/log/secure`中，而不是`/var/log/messages`。

D. 黑客控制服务器之后会使用`history -c`清理相关的日志，在应急响应过程中可以使用`cat ~/.bash_history`恢复相关的记录。这是正确的，但有一些微妙之处。黑客可能会使用`history -c`来清除bash历史记录，但如果他们执行了此命令，那么简单地使用`cat ~/.bash_history`是无法恢复被删除的记录的。但是，如果他们没有正确地删除或覆盖`.bash_history`文件，那么您仍然可以查看其中的内容。

综上，正确答案是 A、B 和 D。