Tôi vừa nhận được một cảnh báo mạng mà tôi chưa từng thấy trước đây, trên một trong số ít các hộp Ubuntu mà chúng tôi có:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
Tổng kiểm tra vmlinuz
đã thay đổi. Tôi thấy từ Wikipedia rằng điều này có liên quan đến kernel.
Tôi có nên quan tâm rằng tổng kiểm tra của nó đã thay đổi? Máy chủ đặc biệt này chạy Wordpress vốn được biết đến với các lỗ hổng trong các plugin của bên thứ 3, vì vậy tôi có xu hướng nhận thông báo từ nó khá nghiêm trọng.
Tôi đang đưa ra kết luận rằng máy chủ này đã bị xâm nhập. An toàn hơn xin lỗi, /var/log/apache2/access.log
là 0 byte, và nên có một chút (không nhiều, nhưng một chút) dữ liệu trong đó, và nó rõ ràng trông giống như một cái gì đó (rất có thể là bot) che dấu vết của chúng. Thời gian để rút ra sao lưu đêm qua :)
lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
/vmlinuz
phải là biểu tượng cho kernel bên dưới/boot/vmlinux-?.?.?-???
, trừ khi đây là một loại VM được lưu trữ.