常用的入侵檢測命令有哪些

常用的入侵檢測命令有：

• last：可用于查看我們系統的成功登錄、關機、重啟等情況，本質就是將/var/log/wtmp文件格式化輸出，因此如果該文件被刪除，則無法輸出結果。

• lastb：用于查看登錄失敗的情況，本質就是將/var/log/btmp文件格式化輸出。

• lastlog：用于查看用戶上一次的登錄情況，本質就是將/var/log/lastlog文件格式化輸出。

• who：用戶查看當前登錄系統的情況，本質就是將/var/log/utmp文件格式化輸出。主要用來查看當前用戶名稱，以及登陸的ip地址信息，w命令與who一樣，會更詳細一些。

• history：查看歷史命令記錄，其實就是查看root/.bash_history文件內容，刪除這個文件，記錄就沒了。

• find / -mtime 0：0代表目前時間，表示從現在開始到24小時以前，有改動過內容的文件全都會被列出來。如果是3天前24小時內，則使用find / -mtime 3

• find /etc -newer /etc/passwd：查找/etc下面文件日期比/etc/passwd新的文件

• less /etc/passwd：查看是否有新增用戶

• grep :0 /etc/passwd：查看是否有特權用戶（root權限用戶）

• ls -l /etc/passwd：查看passwd最后修改時間

• awk -F: ‘$3==0 {print $1}’ /etc/passwd：查看是否存在特權用戶

• awk -F: ‘length($2)==0 {print $1}’ /etc/shadow：查看是否存在空口令用戶

• ps -aux 或 top：查看進程

• crontab -u root -l：查看root用戶的計劃任務

• tar -cvf log.tar /var/log：打包其他信息

• fdisk -l：查看U盤路徑

• monut /dev/sdb4 /mnt：掛載U盤

• cd /mnt：進入U盤

• umount /mnt：退出U盤

回答所涉及的環境：聯想天逸510S、Windows 10。