Właśnie dostałem alert sieciowy, którego nigdy wcześniej nie widziałem, na jednym z niewielu urządzeń Ubuntu:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
Suma kontrolna vmlinuz
zmieniona. Widzę z Wikipedii, że ma to coś wspólnego z jądrem.
Czy powinienem się przejmować zmianą sumy kontrolnej? Na tym konkretnym serwerze działa Wordpress, który jest znany z luk w swoich wtyczkach firm trzecich, więc zwykle traktuję ostrzeżenia z niego dość poważnie.
Wnioskuję, że ten serwer został przejęty. Lepiej, niż przepraszam, bo /var/log/apache2/access.log
ma 0 bajtów i powinno tam być trochę (niewiele, ale trochę) danych, i wygląda na to, że coś (najprawdopodobniej bot) zakrywa ich ślady. Czas wyciągnąć kopię zapasową z ostatniej nocy :)
/vmlinuz
powinno być symboliczne dla jądra/boot/vmlinux-?.?.?-???
, chyba że jest to hostowana maszyna wirtualna.lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
Odpowiedzi:
To jest skompresowane jądro i powinieneś się przejmować, czy kiedykolwiek się zmieniło bez twojej wiedzy, ponieważ jeśli jądro zostało wymienione, możesz być otwarty na każdy atak. Być może był to uzasadniony powód, ale jeśli nie jesteś pewien, nie powinieneś ufać zmienionemu jądru.
źródło
To nie jest coś, co ma zrobić ze swoim jądrze, to jest jądro. Jeśli uruchomisz się ponownie, a ten plik jest uszkodzony, przysłowiowe gówno trafi w przysłowiowego fana.
Czy miałeś aktualizację jądra w czasie wymienionym w komunikacie?
źródło
I see from Wikipedia that this has something to do with the kernel
To mało powiedziane: plik vmlinuz to samo jądro. Jest to ten plik, który jest ładowany podczas uruchamiania serwera, następnie jest rozpakowywany (stąd „z”), a następnie uruchamiany.
Jeśli ponownie skompilowałeś lub zainstalowałeś nowe jądro, nie ma się czym martwić. Jeśli nie zrobiłeś czegoś takiego, przyjrzyj się uważnie temu plikowi lub zastąp go znaną dobrą wersją.
chattr
Dobrym pomysłem jest również uczynienie tego pliku tylko do odczytu i uniemożliwienie rootowi zmiany tego aż do ponownego uruchomienia.źródło
To jest skompresowany (stąd „z”) obraz jądra. Nie powinno to się zmienić, jeśli wykonasz aktualizację jądra.
Sądzę, że masz rozsądne podejrzenia, że może to być spowodowane luką w zabezpieczeniach, ale jak wiesz, może to być również spowodowane problemami z dyskiem lub systemem plików FS, w którym to przypadku powinieneś zobaczyć inne dzienniki błędów systemu plików. Tak czy inaczej, jest coś do sprawdzenia.
źródło