更新时间:2024-06-06 GMT+08:00
分享

高危命令说明

高危命令指影响系统或服务的正常运行,或造成系统特殊文件被恶意删除或修改命令。自动化运维服务涉及的高危命令请参见表1

表1 高危命令说明

高危命令名称

高危命令校验规则

样例

导致风险

vi /etc/xxx.xx command

\\s*(vi|vim)\\s+/(boot|etc|lib|sys|selinux|bin|sbin|root|usr|var|proc|opt|srv)+\\s*

vi /etc/vconsole.conf

直接修改系统文件可能会影响系统和服务的正常运行或使系统进入到不可恢复的状态

service xxx restart/stop command

\\s*service\\s+.*\\s+(restart|stop)\\s*

service network stop

命令中包含service xxx restart/stop,可能会重启或停止服务影响系统或服务的正常运行

mkfs.ext3 /dev/sdxxx command

\\s*mkfs\\.ext3\\s+/dev/[a-z]d[a-z]+\\s*

mkfs.ext3 /dev/sda

命令中包含mkfs.ext3 /dev/xdxxx,块设备会被格式化,直接让你的系统达到不可恢复的阶段

umount command

\\s*umount\\s+.*

umount -v /dev/sda1

可能影响系统或服务的正常运行

poweroff command

\\s*poweroff\\s*

poweroff

包含poweroff命令,可能关机导致影响系统或服务的正常运行

kill command

\\s*kill\\s+.*

kill 12345

包含kill命令,可能删除执行中的程序或工作导致影响系统或服务的正常运行

mv xxx /dev/null command

\\s*mv\\s+.*\\s+/dev/null\\s*

mv test /dev/null

命令中包含mv xxx /dev/null,xxx文件可能都会被清除

xxx > /dev/sdx command

\\s*.*\\s+>\\s+/dev/sd[a-z]+\\s*

cat test.txt > /dev/sda

命令中包含 > /dev/xdx,可能导致该路径下的数据全部丢失

init 0 command

\\s*init\\s+0\\s*

init 0

包含init 0 命令,可能会停机导致影响系统或服务的正常运行

reboot command

\\s*reboot\\s*

reboot

包含reboot命令,可能重启导致影响系统或服务的正常运行

halt command

\\s*halt\\s*

halt

包含halt命令,可能关机导致影响系统或服务的正常运行

Fork Bomb

\\s*:\\(\\)\\{:\\|:&\\};:\\s*

:(){:|:&};:

可能存在命令注入攻击,导致系统崩溃

rm command

\\s*rm\\s+.*

rm test.txt

包含rm命令,可能造成系统特殊文件被恶意删除或修改

> file command

\\s*>\\s+.*

> file

命令中包含 > , 可能会清空文件内容

dd if=/dev/random of=/dev/sdxxx command

\\s*dd\\s+if=/dev/random\\s+of=/dev/sd[a-z]+\\s*

dd if=/dev/random of=/dev/sda

会向块设备sdxxx写入随机的垃圾文件从而擦除数据,导致系统可能陷入混乱和不可恢复的状态

shutdown command

\\s*shutdown\\s+.*

shutdown -h now

包含shutdown命令,可能导致关机影响系统或服务的正常运行

相关文档