跳转至

0054-rc.local-rc.local 文件被修改


规则ID

  • 0054-rc.local

类别

  • system

级别

  • warn

兼容版本

  • Linux

说明

  • 监控主机启动加载文件,对否被篡改

扫描频率

  • disable

理论基础

  • 在linux下要把一个程序加入开机启动,一般可以通过修改rc.local来完成,但linux下通常有两个rc.local文件。分别是/etc/rc.local(连接文件)和/etc/init.d/rc.local(真实文件)。使用MD5sum求文件MD5校验值,对比新老校验值可以发现文件被修改。

风险项

  • 黑客渗透

  • 数据泄露

  • 网络安全

  • 挖矿风险

  • 肉机风险

审计方法

  • 验证主机/etc/rc.local是否非法被修改。可以执行一下命令验证:
    md5sum /etc/rc.local
    

补救

  • 如果主机/etc/rc.local被非法修改,请勿必仔细查看主机环境,是否被入侵,并且修改主机用户密码。

影响

  • 开机异常,启用异常进程,篡改系统环境变量,执行高危命令

默认值

  • 不一致,根据环境更改

参考文献

CIS 控制

文档评价

文档内容是否对您有帮助? ×