Что такое vmlinuz и почему меня это волнует?

14

Я только что получил сетевое предупреждение, которое я никогда раньше не видел, на одном из нескольких имеющихся у нас блоков Ubuntu:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

Контрольная сумма vmlinuzизменена. Я вижу из Википедии, что это как-то связано с ядром.

Должен ли я заботиться о том, чтобы его контрольная сумма изменилась? Этот конкретный сервер работает под управлением Wordpress, который известен своими уязвимостями в сторонних плагинах, поэтому я склонен относиться к нему довольно серьезно.

Я делаю вывод, что этот сервер был взломан. Лучше безопасно, чем сожалеть, так как /var/log/apache2/access.logэто 0 байт, и там должно быть немного (не много, но немного) данных, и это явно похоже на что-то (скорее всего, бот), покрывающее их треки. Время вытащить прошлой ночью бэкап :)

— Марк Хендерсон
источник

В системах Ubuntu /vmlinuzядро должно быть символическим /boot/vmlinux-?.?.?-???, если это не какая-то виртуальная машина.

— Зоредаче

@Zoredache - да,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae

— Марк Хендерсон

11

Это сжатое ядро, и вам следует позаботиться о том, изменилось ли оно когда-либо, не зная об этом, потому что, если ядро было заменено, вы могли быть открыты для любой атаки. Возможно, это была законная причина, но если вы не уверены, вам не следует доверять измененному ядру.

— johnshen64
источник

5

Это не то , что должно делать с вашим ядром, то есть ядро. Если вы перезагрузитесь, и этот файл поврежден, дерьмо из пословиц поразит поклонника из пословиц.

У вас было обновление ядра во время, указанное в сообщении?

— wzzrd
источник

Ok очередь следующий тупой вопрос (я имею дело с 99% машин Windows), как я могу проверить наличие обновлений ядра? Этот сервер почти никогда не входил в систему, поэтому я очень сомневаюсь, что что-то было запущено вручную.

— Марк Хендерсон

проверьте, не заходил ли кто-нибудь вчера для обновления ядра: last -i и history (ищите обновление и обновление apt-get / aptitude). Проверьте, включены ли некоторые автоматические обновления (в iirc ubuntu есть некоторые help.ubuntu.com/community/AutomaticSecurityUpdates ).

@MarkHenderson Проверьте доступ, измените и измените даты с помощью '' stat / vmlinuz ''. Вероятно, вы сможете увидеть обновления в «/var/log/dpkg.log». Однако, если машина не настроена на автоматическое обновление, это должно показать очень мало.

— wzzrd

Также проверьте работу cron, некоторые менеджеры пакетов будут автоматически обновлять через cron.

5

I see from Wikipedia that this has something to do with the kernel

Это занижение: файл vmlinuz - это само ядро. Именно этот файл загружается при загрузке сервера, затем он распаковывается (отсюда «z»), а затем запускается.

Если вы перекомпилировали или установили новое ядро, вам не о чем беспокоиться. Если вы не сделали ничего подобного, посмотрите внимательно на этот файл или замените его верной версией.

chattr Также рекомендуется сделать этот файл доступным только для чтения и запретить root изменять его до перезагрузки.

— Hennes
источник

3

Это сжатый (отсюда и z) образ ядра. Это не должно было измениться, если бы вы не выполняли обновление ядра.

Я полагаю, что вы подозреваете, что это может быть связано с уязвимостью, но, как вы знаете, это также может быть связано с проблемами с диском или fs, и в этом случае вы должны увидеть другие журналы ошибок файловой системы. В любом случае, это то, что нужно проверить.

— EEAA
источник