@风铃
1年前 提问
1个回答

常用的入侵检测命令有哪些

上官雨宝
1年前

常用的入侵检测命令有:

  • last:可用于查看我们系统的成功登录、关机、重启等情况,本质就是将/var/log/wtmp文件格式化输出,因此如果该文件被删除,则无法输出结果。

  • lastb:用于查看登录失败的情况,本质就是将/var/log/btmp文件格式化输出。

  • lastlog:用于查看用户上一次的登录情况,本质就是将/var/log/lastlog文件格式化输出。

  • who:用户查看当前登录系统的情况,本质就是将/var/log/utmp文件格式化输出。主要用来查看当前用户名称,以及登陆的ip地址信息,w命令与who一样,会更详细一些。

  • history:查看历史命令记录,其实就是查看root/.bash_history文件内容,删除这个文件,记录就没了。

  • find / -mtime 0:0代表目前时间,表示从现在开始到24小时以前,有改动过内容的文件全都会被列出来。如果是3天前24小时内,则使用find / -mtime 3

  • find /etc -newer /etc/passwd:查找/etc下面文件日期比/etc/passwd新的文件

  • less /etc/passwd:查看是否有新增用户

  • grep :0 /etc/passwd:查看是否有特权用户(root权限用户)

  • ls -l /etc/passwd:查看passwd最后修改时间

  • awk -F: ‘$3==0 {print $1}’ /etc/passwd:查看是否存在特权用户

  • awk -F: ‘length($2)==0 {print $1}’ /etc/shadow:查看是否存在空口令用户

  • ps -aux 或 top:查看进程

  • crontab -u root -l:查看root用户的计划任务

  • tar -cvf log.tar /var/log:打包其他信息

  • fdisk -l:查看U盘路径

  • monut /dev/sdb4 /mnt:挂载U盘

  • cd /mnt:进入U盘

  • umount /mnt:退出U盘