類型

說明

具體類型

行為動作

文件路徑示例

可能觸發誤報的操作說明

核心系統文件

此類目錄涵蓋了大多數系統命令和共享鏈接庫。監控這些目錄能夠幫助檢測潛在攻擊者的惡意篡改行為，包括植入惡意二進制文件或篡改系統依賴庫。

系統可執行二進制文件目錄

寫入、刪除

• /bin/*

• /usr/bin/*

• /sbin/*

• /usr/sbin/*

通過包管理軟件進行安裝或更新操作時，也會對這些目錄進行寫入。此外，如果您自行從源代碼編譯安裝軟件（通常使用 make && make install 命令），也可能涉及這些目錄的寫入。因此，您需根據實際情況配置相應的放行規則，以避免此類正常操作觸發告警。

共享庫文件目錄

寫入、刪除

• /usr/lib/*

• /usr/lib64/*

配置類文件

攻擊者可能會修改各種關鍵系統配置文件，以實現不同的惡意目的。例如：

• 通過添加或修改用戶記錄，攻擊者可以持續獲取或提升對系統的訪問權限。

• 通過修改DNS解析設置，攻擊者可以實現DNS劫持。

• 通過修改日志記錄配置，攻擊者可以干擾或逃避審計。

• 通過修改或禁用某些安全配置，攻擊者可以實現其攻擊目的。

• 通過篡改運維應用的配置文件，攻擊者可以劫持鑒權流程，從而繞過安全措施或增加特定用戶的權限。

• 通過修改Web服務的配置文件，攻擊者可以加載惡意庫文件或更改解析配置，將流量引導至惡意站點。

用戶與權限相關文件

寫入

• /etc/passwd

• /etc/shadow

• /etc/group

• /etc/gshadow

• /etc/sudoers

• /etc/sudoers.d/*

正常的用戶添加（useradd）、權限修改（usermod）、刪除用戶（userdel）和修改密碼（passwd）等命令可能會對這類文件進行寫入操作。用戶可以根據具體的運維操作規范，增加相應的放行規則，或將告警數據用作審計日志。

關鍵系統配置文件

寫入、刪除

• /etc/resolv.conf

• /etc/hosts

在運維操作需要調整系統的網絡設置、名稱解析、內核參數調整等配置時，會修改此類文件。

運維類應用配置文件

寫入

• /etc/ssh/sshd_config

• /etc/security/pam_env.conf

• /*/.ssh/authorized_keys

在系統的維護、配置更新、安全加固或密鑰定期輪轉的過程中，可能會修改這些文件，建議配置對應的放行規則。

安全審計類配置文件

寫入、刪除

• /etc/audit/auditd.conf

• /etc/audit/rules.d/*

• /etc/selinux/config

• /etc/rsyslog.conf

• /etc/rsyslog.d/*

首次設置系統的審計框架，或者根據合規、安全等需求調整監控策略時，可能需要修改此類文件。

Web服務類配置文件

寫入

• /etc/httpd/conf/httpd.conf

• /etc/httpd/conf.d/*

• /etc/apache2/apache2.conf

• /etc/apache2/sites-available/*

• /etc/apache2/sites-enabled/*

• /etc/nginx/nginx.conf

• /etc/nginx/conf.d/*

Web服務的初始配置、安裝后設置、相關模塊的添加和刪除，以及Web服務的更新等操作，都可能導致此類被監控文件的修改。

數據庫類配置文件

寫入

• /etc/my.cnf

• /etc/mysql/my.cnf

• /etc/postgresql/*/main/postgresql.conf

• /etc/postgresql/*/main/pg_hba.conf

• /etc/mongod.conf

• /etc/redis/redis.conf

數據庫服務的安裝和運維變更等操作可能會導致此類配置文件的變化，建議根據實際情況增加相應的放行規則。

常見的持久化點位

攻擊者通常會添加定時任務、惡意服務或啟動腳本等配置，以在周期性執行或系統重啟后持續保持訪問權限。

Cron類

寫入

• /etc/crontab

• /etc/cron.d/

• /var/spool/cron

• /etc/cron.hourly/*

• /etc/cron.daily/*

• /etc/cron.weekly/*

• /etc/cron.monthly/*

正常運維操作可能會新增、調整或刪除現有的crontab條目，從而修改相應的文件。

服務類

寫入

• /etc/init.d/*

• /etc/rc.d/rc.local

• /etc/systemd/system/*

• /lib/systemd/system/*

在安裝一些服務類應用時，會存在添加、修改系統服務的操作。

Shell配置類

寫入

• /*/.bashrc

• /*/.bash_profile

• /etc/profile

運維人員在修改默認環境設置或為頻繁使用的長命令創建別名時，可能會更改相關文件的內容。

Web服務的代碼目錄

配置對Web服務的代碼目錄進行文件監控的規則有助于保障Web應用的安全。通常情況下，攻擊者會利用漏洞或未授權訪問等弱點，上傳Webshell惡意文件。通過這些Webshell文件，攻擊者可以進一步遠程訪問、控制和管理受攻擊的服務器。通過監控Web服務的代碼目錄，可以有效發現潛在的Webshell上傳行為，檢測未經授權的更改，包括Web頁面的篡改、惡意腳本的植入以及其他惡意活動。

Web代碼目錄

寫入，權限變更

/var/www/html/<code dir>/*.php

在正常的業務和維護操作中，服務更新和部署，以及部分CMS的插件、主題的安裝和更新，都可能會向代碼目錄寫入Web腳本文件。一些自動化部署工具（如Jenkins、GitLab CI/CD、Ansible等）也會在持續集成和部署過程中寫入文件。在這種情況下，需要配置具體的寫入進程，或排除外部可上傳的目錄，并限制特定文件后綴，以確保安全。

包含敏感內容的文件

敏感鑒權信息的泄露是網絡安全的主要風險之一。攻擊者在獲得一臺主機的權限后，通常會進一步搜尋敏感鑒權信息，以進行橫向移動并擴大入侵范圍。因此，對包含敏感內容的文件配置讀取操作的監控，可以有效并及時地發現此類風險或惡意行為。

云服務類CLI鑒權信息

讀取

• /*/.aliyun/config.json

• /*/.ossutilconfig

包含敏感信息的文件通常會被其歸屬的應用程序讀取。例如，Alibaba Cloud CLI 會讀取 ~/.aliyun/config.json 來加載鑒權信息，kubectl 會讀取 ~/.kube/config 來獲取 Kubernetes 證書信息。同時，某些安全軟件為了識別機器上的惡意文件，也可能會掃描包含敏感信息的文件。因此，在設置放行規則時，需要考慮這些正當的讀取行為。

版本控制鑒權信息

讀取

/*/.git-credentials

數據庫配置

讀取

/*/config/database.yml

運維、編排系統的私鑰信息

讀取

/*/.ssh/id_rsa， /*/.kube/config