Что такое vmlinuz и почему меня это волнует?

14

Я только что получил сетевое предупреждение, которое я никогда раньше не видел, на одном из нескольких имеющихся у нас блоков Ubuntu:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

Контрольная сумма vmlinuzизменена. Я вижу из Википедии, что это как-то связано с ядром.

Должен ли я заботиться о том, чтобы его контрольная сумма изменилась? Этот конкретный сервер работает под управлением Wordpress, который известен своими уязвимостями в сторонних плагинах, поэтому я склонен относиться к нему довольно серьезно.

Я делаю вывод, что этот сервер был взломан. Лучше безопасно, чем сожалеть, так как /var/log/apache2/access.logэто 0 байт, и там должно быть немного (не много, но немного) данных, и это явно похоже на что-то (скорее всего, бот), покрывающее их треки. Время вытащить прошлой ночью бэкап :)

linux ubuntu alerts vmlinuz Марк Хендерсон
источник
В системах Ubuntu /vmlinuzядро должно быть символическим /boot/vmlinux-?.?.?-???, если это не какая-то виртуальная машина.
Зоредаче
@Zoredache - да,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
Марк Хендерсон

Ответы:

11

Это сжатое ядро, и вам следует позаботиться о том, изменилось ли оно когда-либо, не зная об этом, потому что, если ядро ​​было заменено, вы могли быть открыты для любой атаки. Возможно, это была законная причина, но если вы не уверены, вам не следует доверять измененному ядру.

johnshen64
источник
5

Это не то , что должно делать с вашим ядром, то есть ядро. Если вы перезагрузитесь, и этот файл поврежден, дерьмо из пословиц поразит поклонника из пословиц.

У вас было обновление ядра во время, указанное в сообщении?

wzzrd
источник
Ok очередь следующий тупой вопрос (я имею дело с 99% машин Windows), как я могу проверить наличие обновлений ядра? Этот сервер почти никогда не входил в систему, поэтому я очень сомневаюсь, что что-то было запущено вручную.
Марк Хендерсон
проверьте, не заходил ли кто-нибудь вчера для обновления ядра: last -i и history (ищите обновление и обновление apt-get / aptitude). Проверьте, включены ли некоторые автоматические обновления (в iirc ubuntu есть некоторые help.ubuntu.com/community/AutomaticSecurityUpdates ).
@MarkHenderson Проверьте доступ, измените и измените даты с помощью '' stat / vmlinuz ''. Вероятно, вы сможете увидеть обновления в «/var/log/dpkg.log». Однако, если машина не настроена на автоматическое обновление, это должно показать очень мало.
wzzrd
Также проверьте работу cron, некоторые менеджеры пакетов будут автоматически обновлять через cron.
5

I see from Wikipedia that this has something to do with the kernel

Это занижение: файл vmlinuz - это само ядро. Именно этот файл загружается при загрузке сервера, затем он распаковывается (отсюда «z»), а затем запускается.

Если вы перекомпилировали или установили новое ядро, вам не о чем беспокоиться. Если вы не сделали ничего подобного, посмотрите внимательно на этот файл или замените его верной версией.

chattr Также рекомендуется сделать этот файл доступным только для чтения и запретить root изменять его до перезагрузки.

Hennes
источник
3

Это сжатый (отсюда и z) образ ядра. Это не должно было измениться, если бы вы не выполняли обновление ядра.

Я полагаю, что вы подозреваете, что это может быть связано с уязвимостью, но, как вы знаете, это также может быть связано с проблемами с диском или fs, и в этом случае вы должны увидеть другие журналы ошибок файловой системы. В любом случае, это то, что нужно проверить.

EEAA
источник