Co to jest vmlinuz i dlaczego mnie to obchodzi?

14

Właśnie dostałem alert sieciowy, którego nigdy wcześniej nie widziałem, na jednym z niewielu urządzeń Ubuntu:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

Suma kontrolna vmlinuzzmieniona. Widzę z Wikipedii, że ma to coś wspólnego z jądrem.

Czy powinienem się przejmować zmianą sumy kontrolnej? Na tym konkretnym serwerze działa Wordpress, który jest znany z luk w swoich wtyczkach firm trzecich, więc zwykle traktuję ostrzeżenia z niego dość poważnie.


Wnioskuję, że ten serwer został przejęty. Lepiej, niż przepraszam, bo /var/log/apache2/access.logma 0 bajtów i powinno tam być trochę (niewiele, ale trochę) danych, i wygląda na to, że coś (najprawdopodobniej bot) zakrywa ich ślady. Czas wyciągnąć kopię zapasową z ostatniej nocy :)

Mark Henderson
źródło
W systemach Ubuntu /vmlinuzpowinno być symboliczne dla jądra /boot/vmlinux-?.?.?-???, chyba że jest to hostowana maszyna wirtualna.
Zoredache,
@Zoredache - tak,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
Mark Henderson

Odpowiedzi:

11

To jest skompresowane jądro i powinieneś się przejmować, czy kiedykolwiek się zmieniło bez twojej wiedzy, ponieważ jeśli jądro zostało wymienione, możesz być otwarty na każdy atak. Być może był to uzasadniony powód, ale jeśli nie jesteś pewien, nie powinieneś ufać zmienionemu jądru.

johnshen64
źródło
5

To nie jest coś, co ma zrobić ze swoim jądrze, to jest jądro. Jeśli uruchomisz się ponownie, a ten plik jest uszkodzony, przysłowiowe gówno trafi w przysłowiowego fana.

Czy miałeś aktualizację jądra w czasie wymienionym w komunikacie?

wzzrd
źródło
Ok, kolejka następnego głupiego pytania (mam do czynienia z 99% maszynami z Windows), jak mogę sprawdzić aktualizację jądra? Ten serwer prawie nigdy nie jest zalogowany, więc bardzo wątpię, aby cokolwiek zostało uruchomione ręcznie.
Mark Henderson
sprawdź, czy ktoś się wczoraj zalogował, aby zaktualizować jądro: ostatnia -i i historia (poszukaj aktualizacji i aktualizacji apt-get / aptitude). Sprawdź, czy niektóre automatyczne aktualizacje są włączone (iirc ubuntu ma help.ubuntu.com/community/AutomaticSecurityUpdates ).
@MarkHenderson Sprawdź dostęp, zmodyfikuj i zmień daty za pomocą „stat / vmlinuz”. Prawdopodobnie powinieneś być w stanie zobaczyć aktualizacje w '' /var/log/dpkg.log ''. Jeśli jednak urządzenie nie jest skonfigurowane do automatycznych aktualizacji, powinno to pokazywać bardzo niewiele.
wzzrd,
Sprawdź również zadania crona, niektórzy menedżerowie pakietów automatycznie dokonają aktualizacji za pośrednictwem crona.
5

I see from Wikipedia that this has something to do with the kernel

To mało powiedziane: plik vmlinuz to samo jądro. Jest to ten plik, który jest ładowany podczas uruchamiania serwera, następnie jest rozpakowywany (stąd „z”), a następnie uruchamiany.

Jeśli ponownie skompilowałeś lub zainstalowałeś nowe jądro, nie ma się czym martwić. Jeśli nie zrobiłeś czegoś takiego, przyjrzyj się uważnie temu plikowi lub zastąp go znaną dobrą wersją.

chattr Dobrym pomysłem jest również uczynienie tego pliku tylko do odczytu i uniemożliwienie rootowi zmiany tego aż do ponownego uruchomienia.

Hennes
źródło
3

To jest skompresowany (stąd „z”) obraz jądra. Nie powinno to się zmienić, jeśli wykonasz aktualizację jądra.

Sądzę, że masz rozsądne podejrzenia, że ​​może to być spowodowane luką w zabezpieczeniach, ale jak wiesz, może to być również spowodowane problemami z dyskiem lub systemem plików FS, w którym to przypadku powinieneś zobaczyć inne dzienniki błędów systemu plików. Tak czy inaczej, jest coś do sprawdzenia.

EEAA
źródło