Apa itu vmlinuz dan mengapa saya peduli?

14

Saya baru saja mendapat peringatan jaringan yang belum pernah saya lihat sebelumnya, di salah satu dari beberapa kotak Ubuntu yang kami miliki:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

Checksum dari vmlinuzdiubah. Saya melihat dari Wikipedia bahwa ini ada hubungannya dengan kernel.

Haruskah saya peduli bahwa checksumnya telah berubah? Server khusus ini menjalankan Wordpress yang dikenal dengan kerentanan di plugin pihak ke-3, jadi saya cenderung menerima peringatan darinya dengan cukup serius.


Saya membuat kesimpulan bahwa server ini telah dikompromikan. Lebih baik aman daripada menyesal, seperti /var/log/apache2/access.log0 byte, dan harus ada sedikit (tidak banyak, tetapi sedikit) data di sana, dan itu jelas terlihat seperti sesuatu (bot yang paling mungkin) menutupi jejak mereka. Waktu untuk menarik cadangan malam terakhir :)

Mark Henderson
sumber
Pada sistem Ubuntu /vmlinuzharus menjadi simbol untuk kernel di bawah /boot/vmlinux-?.?.?-???, kecuali jika ini adalah semacam VM yang di-host.
Zoredache
@Zoredache - ya,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
Mark Henderson

Jawaban:

11

Ini adalah kernel terkompresi dan Anda harus peduli apakah itu pernah berubah tanpa Anda mengetahuinya, karena jika kernel diganti, Anda bisa terbuka terhadap serangan apa pun. Ini mungkin alasan yang sah, tetapi kecuali Anda yakin, Anda tidak boleh mempercayai kernel yang diubah.

johnshen64
sumber
5

Ini bukan sesuatu yang berkaitan dengan kernel Anda, itu adalah kernel Anda. Jika Anda me-reboot, dan file itu rusak, omong kosong pepatah akan mengenai penggemar pepatah.

Apakah Anda memiliki pembaruan kernel pada waktu yang disebutkan dalam pesan?

wzzrd
sumber
Ok antrian pertanyaan tolol berikutnya (saya berurusan dengan 99% mesin Windows), bagaimana saya bisa memeriksa pembaruan kernel? Server ini hampir tidak pernah masuk, jadi saya sangat meragukan ada sesuatu yang dipicu secara manual.
Mark Henderson
periksa apakah seseorang masuk kemarin untuk memutakhirkan kernel: last -i dan history (cari pembaruan dan peningkatan apt-get / aptitude). Periksa apakah beberapa pembaruan otomatis diaktifkan (iirc ubuntu memiliki beberapa help.ubuntu.com/community/AutomaticSecurityUpdates ).
@MarkHenderson Periksa akses, modifikasi, dan ubah tanggal dengan '' stat / vmlinuz ''. Anda mungkin dapat melihat pembaruan di '' /var/log/dpkg.log ''. Namun, jika mesin tidak dikonfigurasikan untuk pembaruan otomatis, itu akan menunjukkan sangat sedikit.
wzzrd
Periksa pekerjaan cron juga, beberapa manajer paket akan secara otomatis melakukan pembaruan melalui cron.
5

I see from Wikipedia that this has something to do with the kernel

Itu meremehkan: File vmlinuz adalah kernel itu sendiri. File ini yang dimuat ketika Anda mem-boot server Anda, kemudian tidak terkompresi (karenanya 'z'), dan kemudian mulai.

Jika Anda mengkompilasi ulang atau menginstal kernel baru maka tidak ada yang perlu dikhawatirkan. Jika Anda tidak melakukan hal seperti itu maka perhatikan dengan cermat file ini, atau ganti dengan versi yang baik.

Membuat file ini hanya-baca dengan chattr dan tidak mengizinkan root untuk mengubahnya sampai setelah reboot juga merupakan ide yang bagus.

Hennes
sumber
3

Itu adalah citra kernel yang dikompresi (karenanya "z"). Seharusnya tidak berubah singkat Anda melakukan peningkatan kernel.

Saya kira Anda bijaksana dalam kecurigaan Anda bahwa ini mungkin karena kerentanan, tetapi seperti yang Anda tahu, itu juga bisa disebabkan oleh masalah disk atau fs yang mendasarinya, dalam hal ini Anda harus melihat log kesalahan sistem file lainnya. Either way, itu sesuatu untuk diperiksa.

EEAA
sumber