高危命令说明
高危命令指影响系统或服务的正常运行,或造成系统特殊文件被恶意删除或修改命令。自动化运维服务涉及的高危命令请参见表1。
高危命令名称 |
高危命令校验规则 |
样例 |
导致风险 |
|---|---|---|---|
vi /etc/xxx.xx command |
\\s*(vi|vim)\\s+/(boot|etc|lib|sys|selinux|bin|sbin|root|usr|var|proc|opt|srv)+\\s* |
vi /etc/vconsole.conf |
直接修改系统文件可能会影响系统和服务的正常运行或使系统进入到不可恢复的状态 |
service xxx restart/stop command |
\\s*service\\s+.*\\s+(restart|stop)\\s* |
service network stop |
命令中包含service xxx restart/stop,可能会重启或停止服务影响系统或服务的正常运行 |
mkfs.ext3 /dev/sdxxx command |
\\s*mkfs\\.ext3\\s+/dev/[a-z]d[a-z]+\\s* |
mkfs.ext3 /dev/sda |
命令中包含mkfs.ext3 /dev/xdxxx,块设备会被格式化,直接让你的系统达到不可恢复的阶段 |
umount command |
\\s*umount\\s+.* |
umount -v /dev/sda1 |
可能影响系统或服务的正常运行 |
poweroff command |
\\s*poweroff\\s* |
poweroff |
包含poweroff命令,可能关机导致影响系统或服务的正常运行 |
kill command |
\\s*kill\\s+.* |
kill 12345 |
包含kill命令,可能删除执行中的程序或工作导致影响系统或服务的正常运行 |
mv xxx /dev/null command |
\\s*mv\\s+.*\\s+/dev/null\\s* |
mv test /dev/null |
命令中包含mv xxx /dev/null,xxx文件可能都会被清除 |
xxx > /dev/sdx command |
\\s*.*\\s+>\\s+/dev/sd[a-z]+\\s* |
cat test.txt > /dev/sda |
命令中包含 > /dev/xdx,可能导致该路径下的数据全部丢失 |
init 0 command |
\\s*init\\s+0\\s* |
init 0 |
包含init 0 命令,可能会停机导致影响系统或服务的正常运行 |
reboot command |
\\s*reboot\\s* |
reboot |
包含reboot命令,可能重启导致影响系统或服务的正常运行 |
halt command |
\\s*halt\\s* |
halt |
包含halt命令,可能关机导致影响系统或服务的正常运行 |
Fork Bomb |
\\s*:\\(\\)\\{:\\|:&\\};:\\s* |
:(){:|:&};: |
可能存在命令注入攻击,导致系统崩溃 |
rm command |
\\s*rm\\s+.* |
rm test.txt |
包含rm命令,可能造成系统特殊文件被恶意删除或修改 |
> file command |
\\s*>\\s+.* |
> file |
命令中包含 > , 可能会清空文件内容 |
dd if=/dev/random of=/dev/sdxxx command |
\\s*dd\\s+if=/dev/random\\s+of=/dev/sd[a-z]+\\s* |
dd if=/dev/random of=/dev/sda |
会向块设备sdxxx写入随机的垃圾文件从而擦除数据,导致系统可能陷入混乱和不可恢复的状态 |
shutdown command |
\\s*shutdown\\s+.* |
shutdown -h now |
包含shutdown命令,可能导致关机影响系统或服务的正常运行 |
