Acabei de receber um alerta de rede que nunca vi antes, em uma das poucas caixas do Ubuntu que temos:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
A soma de verificação vmlinuz
mudou. Vejo na Wikipedia que isso tem algo a ver com o kernel.
Devo me importar que sua soma de verificação tenha mudado? Esse servidor em particular executa o Wordpress, conhecido por vulnerabilidades em seus plugins de terceiros, então eu costumo levar alertas a sério.
Estou concluindo que este servidor foi comprometido. Melhor prevenir do que remediar, como /var/log/apache2/access.log
são 0 bytes, e deve haver um pouco (não muito, mas um pouco) de dados, e parece claramente algo (provavelmente um bot) cobrindo suas trilhas. Hora de retirar o backup das últimas noites :)
/vmlinuz
deve ser simbólico para um kernel abaixo/boot/vmlinux-?.?.?-???
, a menos que seja algum tipo de VM hospedada.lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
Respostas:
Este é o kernel compactado e você deve se preocupar se ele mudou sem que você saiba, porque se o kernel foi substituído, você pode estar aberto a qualquer ataque. Pode ter sido uma razão legítima, mas, a menos que você tenha certeza, não deve confiar no kernel alterado.
fonte
Não é algo que tem a ver com o seu kernel, é o seu kernel. Se você reiniciar, e esse arquivo estiver corrompido, uma merda proverbial atingirá o proverbial fã.
Você teve uma atualização do kernel no momento mencionado na mensagem?
fonte
I see from Wikipedia that this has something to do with the kernel
Isso é um eufemismo: o arquivo vmlinuz é o próprio kernel. É esse arquivo que é carregado quando você inicializa o servidor, depois é descompactado (daí o 'z') e iniciado.
Se você recompilou ou instalou um novo kernel, não há nada com que se preocupar. Se você não fez isso, observe atentamente este arquivo ou substitua-o por uma versão que você conhece.
Tornar esse arquivo somente leitura
chattr
e não permitir que o root altere isso até depois de uma reinicialização também é uma boa idéia.fonte
Essa é a imagem do kernel compactada (daí a "z"). Não deveria ter mudado antes de você realizar uma atualização do kernel.
Eu acho que você é sábio em sua suspeita de que isso possa ser devido a uma vulnerabilidade, mas como você sabe, também pode ser devido a problemas subjacentes de disco ou fs; nesse caso, você deve estar vendo outros logs de erro do sistema de arquivos. De qualquer forma, é algo para se verificar.
fonte