Что такое vmlinuz и почему меня это волнует?

У меня только что появилось сетевое предупреждение, которое я никогда раньше не видел, в одном из немногих ящиков Ubuntu, которые у нас есть:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

Изменена контрольная сумма vmlinuz. Я вижу из Wikipedia , что это имеет какое-то отношение к ядру.

Мне нужно, чтобы его контрольная сумма изменилась? Этот конкретный сервер запускает Wordpress, который известен своими уязвимостями в своих сторонних плагинах, поэтому я очень серьезно воспринимаю предупреждения от него.


Я делаю вывод, что этот сервер был скомпрометирован. Лучше безопасно, чем извините, поскольку /var/log/apache2/access.log - 0 байт, и в нем должно быть немного (немного, но немного) данных , и это явно похоже на что-то (бот, скорее всего), покрывающий их следы. Время вытащить резервную копию прошлых ночей:)

14 голосов | спросил Mark Henderson 19 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 19 Sep 2012 02:00:14 +0400 2012, 02:00:14

4 ответа


11

Это сжатое ядро, и вам следует позаботиться о том, изменилось ли оно, если вы не знаете об этом, потому что если ядро ​​было заменено, вы можете быть открыты для любой атаки. Возможно, это была законная причина, но если вы не уверены, вы не должны доверять измененному ядру.

ответил johnshen64 19 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 19 Sep 2012 02:07:17 +0400 2012, 02:07:17
5

Это не то, что нужно сделать с вашим ядром, а - ваше ядро. Если вы перезагрузитесь, и этот файл поврежден, пословицное дерьмо попадет в пресловутый поклонник.

У вас есть обновление ядра в момент, указанный в сообщении?

ответил wzzrd 19 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 19 Sep 2012 02:06:56 +0400 2012, 02:06:56
5

I see from Wikipedia that this has something to do with the kernel

Это преуменьшение: файл vmlinuz является самим ядром. Именно этот файл загружается при загрузке вашего сервера, затем он получает несжатый (отсюда и «z»), а затем запускается.

Если вы перекомпилировали или установили новое ядро, вам не о чем беспокоиться. Если вы этого не сделали, посмотрите внимательно на этот файл или замените его на хорошо известную версию.

Сделать этот файл доступным только для чтения с помощью chattr и запретить root, чтобы изменить это, пока после перезагрузки также не станет хорошей идеей.

ответил Hennes 19 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 19 Sep 2012 02:08:31 +0400 2012, 02:08:31
3

Это сжатое (следовательно, «z») изображение ядра. Он не должен меняться, если вы не обновляете ядро.

Я бы предположил, что вы разумны в своем подозрении, что это может быть связано с уязвимостью, но, как вы знаете, это также может быть связано с проблемами на диске или fs, и в этом случае вы должны видеть другую файловую систему журналы ошибок. В любом случае, это то, что нужно проверить.

ответил EEAA 19 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 19 Sep 2012 02:07:55 +0400 2012, 02:07:55

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132