0054-rc.local-rc.local 文件被修改¶
规则ID¶
- 0054-rc.local
类别¶
- system
级别¶
- warn
兼容版本¶
- Linux
说明¶
- 监控主机启动加载文件,对否被篡改
扫描频率¶
- disable
理论基础¶
- 在linux下要把一个程序加入开机启动,一般可以通过修改rc.local来完成,但linux下通常有两个rc.local文件。分别是/etc/rc.local(连接文件)和/etc/init.d/rc.local(真实文件)。使用MD5sum求文件MD5校验值,对比新老校验值可以发现文件被修改。
风险项¶
-
黑客渗透
-
数据泄露
-
网络安全
-
挖矿风险
-
肉机风险
审计方法¶
- 验证主机/etc/rc.local是否非法被修改。可以执行一下命令验证:
补救¶
- 如果主机/etc/rc.local被非法修改,请勿必仔细查看主机环境,是否被入侵,并且修改主机用户密码。
影响¶
- 开机异常,启用异常进程,篡改系统环境变量,执行高危命令
默认值¶
- 不一致,根据环境更改
参考文献¶
- 无
CIS 控制¶
- 无