Vmlinuz là gì và tại sao tôi quan tâm?

14

Tôi vừa nhận được một cảnh báo mạng mà tôi chưa từng thấy trước đây, trên một trong số ít các hộp Ubuntu mà chúng tôi có:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

Tổng kiểm tra vmlinuzđã thay đổi. Tôi thấy từ Wikipedia rằng điều này có liên quan đến kernel.

Tôi có nên quan tâm rằng tổng kiểm tra của nó đã thay đổi? Máy chủ đặc biệt này chạy Wordpress vốn được biết đến với các lỗ hổng trong các plugin của bên thứ 3, vì vậy tôi có xu hướng nhận thông báo từ nó khá nghiêm trọng.

Tôi đang đưa ra kết luận rằng máy chủ này đã bị xâm nhập. An toàn hơn xin lỗi, /var/log/apache2/access.loglà 0 byte, và nên có một chút (không nhiều, nhưng một chút) dữ liệu trong đó, và nó rõ ràng trông giống như một cái gì đó (rất có thể là bot) che dấu vết của chúng. Thời gian để rút ra sao lưu đêm qua :)

— Đánh dấu Henderson
nguồn

Trên các hệ thống Ubuntu /vmlinuzphải là biểu tượng cho kernel bên dưới /boot/vmlinux-?.?.?-???, trừ khi đây là một loại VM được lưu trữ.

— Zoredache

@Zoredache - vâng,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae

— Mark Henderson

11

Đây là kernel đã nén và bạn nên quan tâm nếu nó đã thay đổi mà bạn không biết về nó, bởi vì nếu kernel bị thay thế, bạn có thể mở bất kỳ cuộc tấn công nào. Nó có thể là một lý do chính đáng, nhưng trừ khi bạn chắc chắn, bạn không nên tin tưởng hạt nhân đã thay đổi.

— johnshen64
nguồn

5

Nó không phải là cái gì đó đã làm với kernel của bạn, nó là hạt nhân của mình. Nếu bạn khởi động lại và tập tin đó bị hỏng, câu tục ngữ sẽ đánh vào người hâm mộ câu tục ngữ.

Bạn đã có một bản cập nhật kernel tại thời điểm được đề cập trong tin nhắn chưa?

— wzzrd
nguồn

Ok xếp hàng câu hỏi ngớ ngẩn tiếp theo (tôi xử lý 99% máy Windows), làm cách nào để kiểm tra cập nhật kernel? Máy chủ này gần như không bao giờ đăng nhập, vì vậy tôi rất nghi ngờ bất cứ điều gì đã được kích hoạt bằng tay.

— Mark Henderson

kiểm tra xem ai đó đã đăng nhập vào ngày hôm qua để nâng cấp kernel: last -i và history (tìm kiếm bản cập nhật và nâng cấp apt-get / aptitude). Kiểm tra xem một số cập nhật tự động đã được bật chưa (iirc ubfox có một số trợ giúp.ubfox.com/community/AutomaticSecurityUpdates ).

@MarkHenderson Kiểm tra quyền truy cập, sửa đổi và thay đổi ngày với '' stat / vmlinuz ''. Bạn có thể có thể thấy các bản cập nhật trong '' /var/log/dpkg.log ''. Tuy nhiên, nếu máy không được cấu hình để cập nhật tự động, điều đó sẽ hiển thị rất ít.

— wzzrd

Kiểm tra các công việc cron quá, một số người quản lý gói sẽ tự động cập nhật thông qua cron.

5

I see from Wikipedia that this has something to do with the kernel

Đó là một cách đánh giá thấp: Tệp vmlinuz là hạt nhân. Đó là tệp này được tải khi bạn khởi động máy chủ của mình, sau đó nó không bị nén (do đó là 'z'), và sau đó bắt đầu.

Nếu bạn biên dịch lại hoặc cài đặt kernel mới thì không có gì phải lo lắng. Nếu bạn không làm như vậy thì hãy xem kỹ tệp này hoặc thay thế nó bằng một phiên bản tốt.

Làm cho tập tin này chỉ đọc với chattr và không cho phép root để thay đổi điều này cho đến sau khi khởi động lại cũng là một ý tưởng tốt.

— Hennes
nguồn

3

Đó là hình ảnh hạt nhân được nén (do đó là "z"). Nó sẽ không thay đổi khi bạn thực hiện nâng cấp kernel.

Tôi đoán rằng bạn khôn ngoan khi nghi ngờ rằng điều này có thể là do lỗ hổng, nhưng như bạn biết, đó cũng có thể là do các vấn đề về đĩa hoặc fs tiềm ẩn, trong trường hợp đó bạn sẽ thấy các bản ghi lỗi hệ thống tệp khác. Dù bằng cách nào, đó là một cái gì đó để kiểm tra.

— EEAA
nguồn