Что такое vmlinuz и почему меня это волнует?
Я только что получил сетевое предупреждение, которое я никогда раньше не видел, на одном из немногих пакетов Ubuntu, которые у нас есть:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
Контрольная сумма vmlinuz изменилось. Я вижу из Википедии, что это как-то связано с ядром.
Должен ли я заботиться о том, чтобы его контрольная сумма изменилась? Этот конкретный сервер работает под управлением Wordpress, который известен своими уязвимостями в сторонних плагинах, поэтому я склонен относиться к нему довольно серьезно.
Я делаю вывод, что этот сервер был взломан. Лучше безопасно, чем потом сожалеть /var/log/apache2/access.log 0 байт, и там должно быть немного (не много, но немного) данных, и это явно похоже на что-то (скорее всего, бот), покрывающее их треки. Время вытащить прошлой ночью бэкап:)
4 ответа
Это сжатое ядро, и вам следует позаботиться о том, изменилось ли оно когда-либо, не зная об этом, потому что, если ядро было заменено, вы могли быть открыты для любой атаки. Возможно, это была законная причина, но если вы не уверены, вам не следует доверять измененному ядру.
I see from Wikipedia that this has something to do with the kernel
Это занижение: файл vmlinuz - это само ядро. Именно этот файл загружается при загрузке сервера, затем он распаковывается (отсюда "z"), а затем запускается.
Если вы перекомпилировали или установили новое ядро, вам не о чем беспокоиться. Если вы не сделали ничего подобного, посмотрите внимательно на этот файл или замените его хорошей версией.
Создание этого файла только для чтения с chattr и запретить root изменять его до перезагрузки - тоже хорошая идея.
Это не то, что связано с вашим ядром, это ваше ядро. Если вы перезагрузитесь, и этот файл поврежден, дерьмо из пословиц поразит поклонника из пословиц.
Было ли у вас обновление ядра во время, указанное в сообщении?
Это сжатый (отсюда и "z") образ ядра. Это не должно измениться, если вы не выполняете обновление ядра.
Я предполагаю, что вы подозреваете, что это может быть связано с уязвимостью, но, как вы знаете, это также может быть связано с проблемами на диске или с fs, и в этом случае вы должны увидеть другие журналы ошибок файловой системы. В любом случае, это то, что нужно проверить.