O que é vmlinuz e por que eu me importo?

14

Acabei de receber um alerta de rede que nunca vi antes, em uma das poucas caixas do Ubuntu que temos:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

A soma de verificação vmlinuzmudou. Vejo na Wikipedia que isso tem algo a ver com o kernel.

Devo me importar que sua soma de verificação tenha mudado? Esse servidor em particular executa o Wordpress, conhecido por vulnerabilidades em seus plugins de terceiros, então eu costumo levar alertas a sério.

Estou concluindo que este servidor foi comprometido. Melhor prevenir do que remediar, como /var/log/apache2/access.logsão 0 bytes, e deve haver um pouco (não muito, mas um pouco) de dados, e parece claramente algo (provavelmente um bot) cobrindo suas trilhas. Hora de retirar o backup das últimas noites :)

linux ubuntu alerts vmlinuz Mark Henderson
fonte
Nos sistemas Ubuntu, /vmlinuzdeve ser simbólico para um kernel abaixo /boot/vmlinux-?.?.?-???, a menos que seja algum tipo de VM hospedada.
Zoredache
@Zoredache - sim,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
Mark Henderson

Respostas:

11

Este é o kernel compactado e você deve se preocupar se ele mudou sem que você saiba, porque se o kernel foi substituído, você pode estar aberto a qualquer ataque. Pode ter sido uma razão legítima, mas, a menos que você tenha certeza, não deve confiar no kernel alterado.

johnshen64
fonte
5

Não é algo que tem a ver com o seu kernel, é o seu kernel. Se você reiniciar, e esse arquivo estiver corrompido, uma merda proverbial atingirá o proverbial fã.

Você teve uma atualização do kernel no momento mencionado na mensagem?

wzzrd
fonte
Ok, na próxima pergunta idiota (eu lido com máquinas Windows com 99%), como posso verificar se há uma atualização do kernel? Esse servidor quase nunca está conectado, então duvido muito que algo tenha sido acionado manualmente.
Mark Henderson
verifique se alguém fez login ontem para atualizar o kernel: last -i e history (procure atualização e atualização do apt-get / aptitude). Verifique se algumas atualizações automáticas estão ativadas (o iirc ubuntu possui alguma ajuda.ubuntu.com/community/AutomaticSecurityUpdates ).
@ MarkHenderson Verifique o acesso, modifique e altere as datas com '' stat / vmlinuz ''. Provavelmente, você poderá ver atualizações em '' /var/log/dpkg.log ''. No entanto, se a máquina não estiver configurada para atualizações automáticas, isso deve mostrar muito pouco.
Wzzrd 19/09/12
Verifique também os trabalhos do cron, alguns gerenciadores de pacotes farão atualizações automaticamente via cron.
5

I see from Wikipedia that this has something to do with the kernel

Isso é um eufemismo: o arquivo vmlinuz é o próprio kernel. É esse arquivo que é carregado quando você inicializa o servidor, depois é descompactado (daí o 'z') e iniciado.

Se você recompilou ou instalou um novo kernel, não há nada com que se preocupar. Se você não fez isso, observe atentamente este arquivo ou substitua-o por uma versão que você conhece.

Tornar esse arquivo somente leitura chattr e não permitir que o root altere isso até depois de uma reinicialização também é uma boa idéia.

Hennes
fonte
3

Essa é a imagem do kernel compactada (daí a "z"). Não deveria ter mudado antes de você realizar uma atualização do kernel.

Eu acho que você é sábio em sua suspeita de que isso possa ser devido a uma vulnerabilidade, mas como você sabe, também pode ser devido a problemas subjacentes de disco ou fs; nesse caso, você deve estar vendo outros logs de erro do sistema de arquivos. De qualquer forma, é algo para se verificar.

EEAA
fonte