Saya baru saja mendapat peringatan jaringan yang belum pernah saya lihat sebelumnya, di salah satu dari beberapa kotak Ubuntu yang kami miliki:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
Checksum dari vmlinuz
diubah. Saya melihat dari Wikipedia bahwa ini ada hubungannya dengan kernel.
Haruskah saya peduli bahwa checksumnya telah berubah? Server khusus ini menjalankan Wordpress yang dikenal dengan kerentanan di plugin pihak ke-3, jadi saya cenderung menerima peringatan darinya dengan cukup serius.
Saya membuat kesimpulan bahwa server ini telah dikompromikan. Lebih baik aman daripada menyesal, seperti /var/log/apache2/access.log
0 byte, dan harus ada sedikit (tidak banyak, tetapi sedikit) data di sana, dan itu jelas terlihat seperti sesuatu (bot yang paling mungkin) menutupi jejak mereka. Waktu untuk menarik cadangan malam terakhir :)
/vmlinuz
harus menjadi simbol untuk kernel di bawah/boot/vmlinux-?.?.?-???
, kecuali jika ini adalah semacam VM yang di-host.lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
Jawaban:
Ini adalah kernel terkompresi dan Anda harus peduli apakah itu pernah berubah tanpa Anda mengetahuinya, karena jika kernel diganti, Anda bisa terbuka terhadap serangan apa pun. Ini mungkin alasan yang sah, tetapi kecuali Anda yakin, Anda tidak boleh mempercayai kernel yang diubah.
sumber
Ini bukan sesuatu yang berkaitan dengan kernel Anda, itu adalah kernel Anda. Jika Anda me-reboot, dan file itu rusak, omong kosong pepatah akan mengenai penggemar pepatah.
Apakah Anda memiliki pembaruan kernel pada waktu yang disebutkan dalam pesan?
sumber
I see from Wikipedia that this has something to do with the kernel
Itu meremehkan: File vmlinuz adalah kernel itu sendiri. File ini yang dimuat ketika Anda mem-boot server Anda, kemudian tidak terkompresi (karenanya 'z'), dan kemudian mulai.
Jika Anda mengkompilasi ulang atau menginstal kernel baru maka tidak ada yang perlu dikhawatirkan. Jika Anda tidak melakukan hal seperti itu maka perhatikan dengan cermat file ini, atau ganti dengan versi yang baik.
Membuat file ini hanya-baca dengan
chattr
dan tidak mengizinkan root untuk mengubahnya sampai setelah reboot juga merupakan ide yang bagus.sumber
Itu adalah citra kernel yang dikompresi (karenanya "z"). Seharusnya tidak berubah singkat Anda melakukan peningkatan kernel.
Saya kira Anda bijaksana dalam kecurigaan Anda bahwa ini mungkin karena kerentanan, tetapi seperti yang Anda tahu, itu juga bisa disebabkan oleh masalah disk atau fs yang mendasarinya, dalam hal ini Anda harus melihat log kesalahan sistem file lainnya. Either way, itu sesuatu untuk diperiksa.
sumber